在計算機領域，沙盒這一概念很早就用以表示一個能夠讓惡意代碼運行其中的安全隔離環境，方便研究人員對惡意代碼進行分析。同樣的概念現在被網絡安全設備用于執行和檢查網絡信息流，發現那些躲過了傳統安全措施的惡意代碼。

由于能夠虛擬仿真整個操作系統，沙盒便可安全地執行可疑代碼，以便觀察其所作所為。包括文檔/磁盤操作、網絡連接、注冊/系統配置修改等等在內的惡意行為因此暴露無遺，從而消除威脅。

為何現在必須采用沙盒技術?

既然沙盒技術屬于很早的技術，為什么又突然變得如此重要?因為當網絡罪犯了解了更多普通的安全檢測方法時，他們往往會將更多的投入放在安全規避方法的研發上。高級持續性威脅(APT)屬于定制開發的針對性攻擊。使用前所未見的(或“0day”)惡意軟件，它們可以避開直接檢測來利用薄弱點(沒有修補的安全漏洞)。這些威脅來自于全新的或看似安全的 URL 主機和 IP 地址。它們的目的是使用那些千方百計繞過安全屏障并盡可能長時間地潛伏在雷達下的高級代碼技術來危害它們的目標系統。今天，不論是新式入侵威脅，或以全新方式偽裝的舊有入侵威脅，沙盒技術都可以幫助我們發現它們。

沙盒與惡意樣本的對抗

沙盒技術的主要應用是準確地模擬惡意代碼的行為。理想情況下，沙盒中的輸出應當與代碼在某個終端用戶環境中運行時的輸出完全相同。實際上，由于所涉及的變量數量的關系，產生完全相同的結果是很困難的。其類似于試圖從種子開始種植兩株完全相同植物的過程;即使極細微的水、光、溫度和土壤成分的差異都會產生不同的結果。

漏洞程序(Exploit)與有毒 App(Zpplication):

高級威脅能夠偽裝成為文檔文件來欺騙員工開啟文件(如 Word、Excel 或 Adobe Reader)去運行惡意代碼。若要檢測出這種行 為，沙盒必須從頭至尾運行一系列的操作系統，每個操作系統都要運行多個應用程序版本。

32 與 64 位，Windows XP 與 Windows7/8:

32 位代碼可同時運行于 32 位和 64 為環境下，因此惡意軟件的作者更青睞 32 位，以獲得最大的感染效果。如今大多數惡意軟件仍然是可執行文件的形式，特別是可移植的可執行 32 位格式(PE32) 。PE32 文件能夠同時在 Window XP 和 7/8 的環境中運行，所以大多數惡意行為都可以在 XP(不支持 64 位代碼)中觀察到，而不需在 7/8 中進一步 測試。但運行于帶有 CPRL 的 FortiSandbox 的 Fortinet 殺毒引擎完全支持 32 位和 64 位代碼以及多個平臺：Window s、Mac 、 Linux、Android、Window Mobile、iOS 、Blackberry和遺留下來的 Symbian。

FortiSandbox助力企業應對新型威脅

FortiGuard 實驗室觀察到的大多數威脅都是32 位且用于在Windows XP 環境中執行的。Windows XP仍是一個活躍的市場，也是一個易取的目標。若黑客(開發者)可以編寫32 位惡意軟件，其就會在今天的XP 上生效，也會在用戶遷移到Windows XP /8 時跨平臺生效，所以，開發者沒有必要專門制作針對Windows 7/8 惡意軟件。盡管FortiGuard 實驗室并沒有預期64 位威脅會立即發起攻擊， 但Fortinet 使用其CPRL、殺毒引擎和FortiSandbox 已經能夠同時捕獲這兩種威脅。

網絡環境一旦出現轉變，其下受到支持的環境也會跟著轉變。為了有效地捕捉病毒威脅，FortiSandbox 根據現有的網絡環境威脅同時在Windows XP 和Windows 7/8 的虛擬環境中配置資源，并以FortiGate 和FortiSandbox整合了新式規避技術偵測功能和目標平臺的強化技術。不止如此，FortiSandbox 還通過代碼仿真和殺毒引擎預過濾為O/S 獨立檢測提供支持。

在今天的威脅形勢下，沙盒提供了一個十分有用的新一層防御。使用得當的話，它會成為一個學習設備，最終與網關安全相結合，因此它可以快速識別網絡上新的威脅活動并有助于做出事件反應，此類設備之間的集成能力最為關鍵。FortiGuard 實驗室不斷地發現和監視新出現的規避技術，以便可以快速將反擊更新與情報發送給Fortinet 解決方案。Fortinet目前支持將FortiSandbox與FortiGate安全網關、FortiClient終端防御軟件、FortiWeb WAF、FortiManager 集中管理平臺和FortiMail郵件安全網關 等安全設備加以集成。