跳至主内容

沙盒分析器本地部署要求

沙盒分析器本地部署 需满足以下特定要求:

  • ESXi虚拟机管理程序(用于运行环境的虚拟化平台)。

  • 沙盒分析器 虚拟设备(用于控制引爆虚拟机的管理设备)。

  • 网络安全虚拟设备 (封装了可从网络流量中提取载荷的网络传感器的虚拟机)。

  • 需连接至现有GravityZone 控制中心 用于沙盒环境的高层管理。

  • 用于下载沙盒分析器虚拟设备的互联网连接,最低带宽要求为5 MBps。

    重要提示

    确保在下载和安装沙盒分析器时,没有其他可能阻断互联网连接的应用程序或进程。

ESXi虚拟机管理程序

沙盒分析器 虚拟设备提供OVA格式,可部署在运行VMware ESXi虚拟机管理程序的单一物理主机上。

物理主机的硬件要求

  • CPU:总CPU核心数(考虑超线程)可通过“物理主机需求与硬件扩展”章节提供的计算公式推导得出。

  • 内存:物理主机所需总内存量可通过“物理主机需求与硬件扩展”章节提供的计算公式推导得出。

  • 磁盘空间:至少1TB SSD存储(适用于8个虚拟机爆破环境,每增加一个爆破虚拟机需至少扩展50GB)。

  • 网络:一张专用物理网卡(NIC)。

    该网卡可拆分为两张虚拟网卡,映射关系如下:

    • 一张网卡用于管理接口。

    • 一张网卡用于爆破网络。

    注意

    若硬件配置允许,建议使用与上述虚拟网卡映射相同的专用物理网卡。

软件要求

支持的ESXi服务器版本:6.5、6.7、7.0。

重要提示

ESXi 7.0的限制:

  • 当增加单次提交的推荐时间参数时,并发提交的爆破时间会延长。建议不要将单次提交的配置值设为高于 GravityZone 控制中心 .

  • 整体性能会因独立提交的时间安排而降低。在持续无空闲处理的流程中,平均吞吐量(每小时爆破样本数)下降约30%。

支持的VMFS版本:5。

ESXi主机的额外配置:

  • 启动时启用SSH。

  • 配置并激活NTP服务。

  • 启用“随主机启停”选项。

注意

沙盒分析器 兼容VMware ESXi试用版,但生产环境建议运行在ESXi授权版本上。

沙盒分析器 虚拟设备

沙盒分析器 虚拟设备提供近乎无限的扩展能力,只要底层硬件资源充足。

在ESXi可用资源总量中, 沙箱分析器 在沙箱管理器与引爆虚拟机之间共享CPU和内存资源。

沙箱管理器最低系统要求

  • 6个虚拟CPU

  • 20 GB内存

  • 600 GB磁盘空间

沙箱管理器分配有三个内部虚拟网卡,具体如下:

  • 1个网卡用于与管理控制台( GravityZone 控制中心 ).

  • 1个网卡用于互联网连接。

  • 1个网卡用于与引爆虚拟机通信。

注意

要实现通信,ESXi管理虚拟网卡和沙箱管理器管理虚拟网卡必须处于同一网络。

引爆虚拟机

系统要求

本地部署版沙箱分析器 支持自定义虚拟机镜像,可在模拟真实生产环境的运行时环境中进行样本引爆测试。

创建虚拟机镜像需满足以下条件:

  • 虚拟机镜像须为VMDK格式,版本5.0。

  • 用于构建引爆虚拟机的支持操作系统:

    • Windows 7 64位(任意补丁级别)

    • Windows 10 64位(任意补丁级别)

重要提示

  • 操作系统必须安装在分区表中的第二个分区,并挂载在C盘(默认Windows安装配置)。

  • 必须启用本地"Administrator"账户且密码为空(禁用密码)。

  • 在导出虚拟机镜像前,必须为操作系统及镜像内所有已安装软件正确授权。

虚拟机镜像软件

沙盒分析器 支持引爆多种文件格式和类型,具体请参阅 沙盒分析器对象 .

为确保报告结论性,请确保自定义镜像中安装了能打开待引爆特定文件类型的软件。

网络安全虚拟设备

网络安全虚拟设备运行网络传感器,可从网络流中提取内容并提交至 沙盒分析器 ,最低硬件要求为:

  • 4个虚拟CPU

  • 4GB内存

  • 1TB磁盘空间

  • 2个虚拟网卡

物理主机要求与硬件扩展

沙盒分析器环境的扩展算法采用以下公式(其中"K"代表引爆槽位/引爆虚拟机数量):

  • 沙盒分析器虚拟设备CPU = 6个虚拟CPU + K × 1个虚拟CPU

  • 沙盒分析器虚拟设备内存 = 20GB内存 + K × 2GB

同理,主机的扩展算法如下:

  • ESXi主机CPU = 6个虚拟CPU + K × 2个虚拟CPU

  • ESXi主机内存 = 20GB内存 + K × 5GB

沙盒分析器虚拟设备与ESXi资源的主要差异在于分配给每个引爆虚拟机的资源量。

因此典型引爆环境(8台虚拟机)需满足以下要求:

  • 沙盒分析器虚拟设备CPU = 6个虚拟CPU + 8 × 1个虚拟CPU = 14个虚拟CPU

  • 沙盒分析器虚拟设备内存 = 20GB内存 + 8 × 2GB = 36GB内存

  • ESXi主机CPU = 6个虚拟CPU + 8 × 2个虚拟CPU = 22个虚拟CPU

    注意

    每个引爆虚拟机需要为沙箱分析器虚拟设备分配1个vCPU,并为引爆虚拟机分配1个vCPU。引爆虚拟机将配置4个vCPU,但会以4:1的比例超额配置,因此ESXi主机仅需1个vCPU。

  • ESXi主机内存 = 20 GB内存 + 8 x 5 GB = 60 GB内存

    注意

    沙箱分析器虚拟设备、引爆虚拟机与ESXi主机之间按1:1比例使用内存。因此每个引爆虚拟机需从ESXi主机分配5 GB内存,其中2 GB分配给沙箱分析器虚拟设备,3 GB分配给引爆虚拟机自身。

在上述场景中,最终物理主机至少需要22个CPU核心(含超线程)和至少60 GB内存,并额外保留10-20%内存供虚拟机监控程序自身使用。

通常样本引爆需九分钟执行并生成报告,期间会占用所有已分配资源。建议根据引爆能力(文件/小时)设计沙箱环境,再将该指标转换为宿主和虚拟机层面的资源需求。

沙箱分析器 通信要求

沙箱分析器本地部署 组件使用特定网络接口绑定的通信端口,以实现内部组件间和/或与Bitdefender公共服务器的通信。

沙箱环境需要三个网络接口:

  • eth0 – 管理网络接口 。该接口连接GravityZone和ESXi主机。

    建议将eth0与ESXi管理接口接入同一网络,并映射到专用物理适配器。

    下表描述eth0的网络通信要求:

    方向

    通信端口(TCP协议)

    源/目标

    出站

    8443

    GravityZone通信服务器

    443

    GravityZone虚拟设备

    443

    沙箱管理器需要访问 sba-update.bitdefender.net

    80

    GravityZone虚拟设备

    22

    ESXi主机

    443

    ESXi主机API

    入站

    8443

    任意

  • eth1 – 引爆网络 无需任何配置。安装过程会自动创建必要的虚拟资源。

  • eth2 – 互联网接入网络 建议保持不受限制且未过滤的互联网连接。

    建议将管理网络和互联网接入网络分配至不同子网。

GravityZone虚拟设备需要访问 沙箱分析器 虚拟设备的443端口(TCP协议)以查看和下载沙箱分析器报告。

GravityZone虚拟设备需连接到 沙箱分析器 虚拟设备的443端口(TCP协议)以请求引爆样本的状态。

本节内容 :