现实中的沙箱，是一种儿童玩具，类如KFC中一个装满小球的容器，儿童可以在随意玩耍，起到保护儿童的作用。（也可以理解为一种安全环境）。同样在网络技术中也是一种按照安全策略限制程序行为的执行环境。

现实中的沙箱

沙箱磁盘访问方式（保护方式）

网络中的沙箱

揭秘沙箱技术

沙箱（先简支后连续梁施工）

现实中的沙箱

现实中的沙箱，是一种儿童玩具，类如KFC中一个装满小球的容器，儿童可以在其中随意玩耍，起到保护儿童的作用。（也可以理解为一种安全环境。）

沙箱磁盘访问方式（保护方式）

近年来，随着网络安全问题的日益突出，人们更多的将沙箱技术应用于网上冲浪方面。从技术实现角度而言，就是从原有的阻止可疑程序对系统访问，转变成将可疑程序对磁盘、注册表等的访问重定向到指定文件夹下，从而消除对系统的危害。

GreenBorder为IE和firefox构建了一个安全的虚拟执行环境。用户通过浏览器所作的任何写磁盘操作，都将重定向到一个特定的临时文件夹中。这样，即使网页中包含病毒，木马，广告等恶意程序，被强行安装后，也只是安装到了临时文件夹中，不会对用户pc造成危害。GreenBorder 公司成立于2001年，2007年5月被Google收购，并在其随后发布的Google Chrome浏览器中得以运用。目前其网址不可访问，所以没有相关测试报告。关于该产品的情况可以到维基百科上了解。

与GreenBorder功能相似的ForceField是近期推出的，目前还是Beta版。它是由知名的网络防火墙公司ZoneAlarm开发的。主要支持Windows xp以及vista，其Beta版可以下载。下图是安装后试用的图片。从外观上看firefox和原有的基本没有差别。

在测试过程中，使用了某病毒网站测试，以前访问该网站时，可能存在类似“机器狗”的病毒，通过修改机器时间的方式使卡巴斯基失效，然后马上下载偷盗游戏帐号和密码的木马。使用ForceField后，它报告该网站可疑，且阻挡了该可疑攻击，卡巴斯基没有异常。只是其后，在每次运行程序的时候，卡巴斯基都会报告类似“已检测: 风险软件 Invader 运行进程: D:\\downloads\\jpskb\\极品时刻表\\JPSKB.exe”的警报，可能是ForceField的原因。

网络中的沙箱

沙箱（SandBox） 无论何时加载远程网站上代码并在本地执行，安全都是至关重要的问题。点击一个链接可以启动Java Web Start 应用程序。访问一个网页时，其中的所有Applet也会自动地启动。如果再点击一个链接，或者访问一个网页时，在用户的机器上能够安装任意的代码，那么犯罪分子就可能在此时窃听机密信息、读取财务数据或者接管用户机器来发送广告。

为了确保Java技术不会被邪恶目的所利用，SUN公司在设计Java的时候，设计了一套精密的安全模型；即安全管理器（Security Manager）将检查有权使用的所有系统资源。在默认的情况下，只允许那些无害的操作，要想允许执行其他操作，代码需得到数字签名，用户必须得到数字认证。

在所有的平台上，远程代码可以做什么呢？它可以显示图像、播放音乐、获得用户的键盘输入和鼠标点击，以及将用户的输入送回加载代码所在的主机。这些功能足以能够显示信息和图片，或者获得用户为订单所输入的信息。这种受限制的执行环境称为沙箱（sandbox）。在沙箱中运行的代码不能够修改或查看用户系统。

特别是，在沙箱中的程序有下列限制：

不能运行任何本地的的可执行程序。

不能从本地计算机文件系统中读取任何信息，也不能往本地计算机文件系统中写入任何信息。

不能查看除Java版本信息和少数几个无害的操作系统详细信息外的任何有关本地计算机的信息。特别是，在沙箱中的代码不能查看用户名、E-mail地址等信息。

远程加载的程序不能与除下载程序所在的服务器之外的任何主机通信，这个服务器被称为源主机（originating host）。这条规则通常称为“远程代码只能与家人通话”这条规则将会确保用户不会被代码探查到内部网络资源（在Java SE 6 中，Java Web Start 应用程序可以与其他网络连接，但必须得到用户的同意）。

所有弹出式窗口都会带一个警告消息。这条消息起到了安全的作用，以确保用户不会为本地应用程序弄错窗口。令人担心的是，一个可信赖的用户可以访问网页，并被蒙骗运行远程代码，然后输入密码和信用卡号，这些信息将被送回服务器。在早期JDK版本中，有个消息会令人害怕的：“Untrusted Java Applet Window ”（不可信赖的Java Applet Window）。后来的JDK版本将这个警告消息的口气缓和了一些“Unauthenticated Java Applet Window”（未获认证的Java Applet Window）。随后是“Warning ：Java Applet Window ”（警告：Java Applet Window ）。现在只是“Java Applet Window” 或“Java Appliation Window”。

揭秘沙箱技术

所谓的沙箱技术，其实就是Sandboxie，360仅仅是挂名，这项核心技术并不是360自主研发的。更加不是首创，因为Sandboxie自带一个快捷方式，就是在沙盘中运行IE。

Sandboxie是一款专业的虚拟类软件，它的工作软件：通过重定向技术，把程序生成和修改的文件，定向到自身文件夹中。当然，这些数据的变更，包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据，属于驱动级别的保护。我个人是用Sandboxie来测试病毒的，在里面运行病毒可以说也是安全操作。

在360浏览器的文件夹中（桌面快捷方式的目标的上一级路径，除了浏览器程序之外还有一个文件夹），你可以找到Sandboxie的安全程序，以及调出它的程序控制台SbieCtrl.exe。版本是英文的，但官方有中文版。

360浏览器为什么安全？不是因为它是360的产品，也不是因为它的浏览器程序是The World，也不是什么扫描检查。是因为Sandboxie这个软件。

沙箱（先简支后连续梁施工）

沙箱式临时支座时利用封闭容器内的干燥细沙，在容器底部或侧面打开开口时易流出从而减少容器内的细沙体积的原理设计的。它是通过在一个上面开口的容器盛上细沙，在上只放一块略小于容器伤口的垫块，使其高出容器伤口2～3cm(当然容器上口要低于永久支座高程)大梁放在垫块上，当其它工序完成后，在沙箱侧面开口处放出沙子，容器内沙子体积减少，大梁随之下落到永久支座上。

沙箱式临时支座所用的沙箱，可以是圆柱状的，也可以使形似方箱状的，由于圆柱状的易于制作，只需用适当直径的钢管截成合适长度。在一端焊上封口就行了，因此一般选择钢管沙箱。

其中下垫板用1～2cm钢板密焊在钢管底部，起到稳固和封底口的作用。在钢管沙箱侧面的螺丝，是在沙箱侧面车丝口，然后拧上螺丝，它是沙子流出时的开关。垫块直径略小于圆管沙箱直径，可以用锚环或铁环、混凝土块制作。上垫板放在垫块上仅起稳固大梁作用。

实际使用中，要注意临时支座的高度。在放置大梁后，临时支座上垫板表面要高于永久支座顶面1cm，H1要有2～3cm的高度，H2要有5～6cm的高度，沙箱顶面要低于永久支座3～4cm，螺丝开关在沙箱中部偏下一点，为易于沙子流出可以向上斜置。

另一个值得注意的地方是：梁板落在临时支座上时，松装的沙子要有一定高度的沉降，如果把握不好，将会影响到架梁施工。为此在实际施工中我们做了沙子的沉降观测，发现上述沙箱式临时支座在放置63t左右的大梁后，四个支座沙子的沉降量在5～10mm之间，为了准确掌握沙子的沉降，我们放人较为均匀的细沙。然后用水润湿让其沉降，最后发现可以放置大梁之后细沙的沉降控制在6～8mm之间。架梁时只需保证梁底标高(上垫板标高)高于永久支座顶面标高1.6～1.8cm即可，不同的盖梁可以用沙箱内沙子的多少来调整高度。

在其他工序完成之后，需要将临时支座的大梁放置到永久支座上时只需将沙箱一侧的螺旋开关拧开，轻轻敲击，沙子就会流出，大梁就会随沙箱内沙子的减少在自重作用下落到永久支座上，即方便、又简单。