都2023年了，還在問網(wǎng)絡(luò)安全怎么入門，氣得我當(dāng)場腦溢血！這份零基礎(chǔ)入門路

時間：2023-08-23 18:00:01 | 來源：網(wǎng)站運(yùn)營

時間：2023-08-23 18:00:01 來源：網(wǎng)站運(yùn)營

都2023年了，還在問網(wǎng)絡(luò)安全怎么入門，氣得我當(dāng)場腦溢血！這份零基礎(chǔ)入門路線再發(fā)最后一次?。?h2 data-first-child>前言本人從事網(wǎng)路安全工作12年，曾在2個大廠工作過，安全服務(wù)、售后服務(wù)、售前、攻防比賽、安全講師、銷售經(jīng)理等職位都做過，對這個行業(yè)了解比較全面。下面就開始進(jìn)入正題，如何從一個萌新一步一步進(jìn)入網(wǎng)絡(luò)安全行業(yè)。

正題

首先,在準(zhǔn)備進(jìn)入這個行業(yè)之前，我們要問一下我們的內(nèi)心，工作千千萬，為什么要想進(jìn)入這個行業(yè)？

相信每個人的答案都不一樣，有的人會說，這個行業(yè)整體上比其他行業(yè)賺錢多，有的人會說特別喜歡技術(shù)，想鉆研一下。還有人會說，這個行業(yè)處于風(fēng)口，未來積攢人脈創(chuàng)業(yè)。不管你的回答是怎么樣的，不管你是為了錢還是為了技術(shù)，咱們都要對自己有一個準(zhǔn)確的定位，要明確未來幾年你想得到什么結(jié)果，有了這個目標(biāo)咱們再去奮斗。如果你想在這個行業(yè)不用任何的積攢，想躺著就能賺錢，沒有一個行業(yè)允許這樣，更何況網(wǎng)絡(luò)安全行業(yè)還是一個新興行業(yè)。

有了目標(biāo)，才有動力去學(xué)習(xí)，下面咱們要了解一下，網(wǎng)絡(luò)安全行業(yè)都有哪些崗位？你適合哪些崗位

咱們新興技術(shù)不做羅列，就算傳統(tǒng)的安全崗位：安全產(chǎn)品工程師（或者售后工程師）、安全咨詢師（售前工程師）、滲透測試工程師、銷售、安全開發(fā)工程師、安全運(yùn)維工程師、應(yīng)急響應(yīng)工程師、等級保護(hù)測評師、安全服務(wù)工程師。大體上這么多，其他小眾崗位就不一一列舉了。

安全崗位的大體工作內(nèi)容或職責(zé)

①售后工程師：安全產(chǎn)品的售后服務(wù)工作，包括安全產(chǎn)品的交付實(shí)施、售后支撐、產(chǎn)品調(diào)試上架。比如客戶買了咱們的防火墻，咱們要派人去安裝調(diào)試吧，總不能讓客戶自己去安裝吧。這是產(chǎn)品工程師或者售后工程師的主要工作內(nèi)容。

②售前工程師：主要是協(xié)助銷售完成跟單，說的通俗易懂一點(diǎn)就是跟銷售配合，一個做商務(wù)關(guān)系（吃吃喝喝、送禮請客）一個做技術(shù)方案（解決客戶的痛點(diǎn)），兩個人配合拿下項(xiàng)目。

③滲透測試工程師：這個崗位是大多數(shù)人夢寐以求的，展現(xiàn)個人技術(shù)的時候到了。主要是模擬黑客對目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行攻擊，點(diǎn)到為止。

④銷售：不再贅述，估計(jì)你們年輕的人也不太關(guān)心，但是等你成長了，你就會發(fā)現(xiàn)，你以前的對銷售的認(rèn)知是多么的扯淡。

⑤安全開發(fā)工程師：嗯，就是搞開發(fā)，要對安全也要了解，比如開發(fā)一個web應(yīng)用防火墻，連web攻擊都不懂，那還開發(fā)個啥，閉門造車啊，能防的注嗎？

⑥安全運(yùn)維工程師：一個單位買了那么多安全產(chǎn)品，肯定要有人做運(yùn)維的，分析一下日志，升級一下策略。定期檢查一下業(yè)務(wù)系統(tǒng)的安全性，查看一下內(nèi)網(wǎng)當(dāng)中有沒有威脅，這都是安全運(yùn)維工程師要做的內(nèi)容。

⑦應(yīng)急響應(yīng)工程師：客戶業(yè)務(wù)系統(tǒng)被攻擊，要快速定位安全問題，要快速恢復(fù)業(yè)務(wù)系統(tǒng)，有的甚至還要取證報警。（家里如果被偷東西價值太大，你還不報警？心咋這么大）

⑧等級保護(hù)測評師：按照國家要求，重要的業(yè)務(wù)系統(tǒng)需要按照安全等級進(jìn)行保護(hù)的，目前國家已經(jīng)發(fā)布了等級保護(hù)2.0標(biāo)準(zhǔn)，要按照這個標(biāo)準(zhǔn)進(jìn)行建設(shè)。等級保護(hù)測評師的工作就是協(xié)助客戶檢查一下業(yè)務(wù)系統(tǒng)是否滿足等級保護(hù)的要求，不滿足的趕緊整改。

⑨安全服務(wù)工程師：好多企業(yè)把滲透測試工程師也歸到安全服務(wù)工程師里面，無傷大雅。不懂安全服務(wù)，還不懂吃飯的服務(wù)員嘛，就是協(xié)助客戶做好安全工作，具體的內(nèi)容比如常見的漏洞掃描、基線檢測、滲透測試、網(wǎng)絡(luò)架構(gòu)梳理、風(fēng)險評估等工作內(nèi)容。安全服務(wù)的面很大的，幾乎涵蓋了上述所有崗位的內(nèi)容。

不同崗位對應(yīng)技能

說了這么多崗位，把銷售和開發(fā)踢出去，（大多數(shù)少年不關(guān)心這兩個崗位），其他崗位咱們在劃分一下，其實(shí)就是三個方向：安全產(chǎn)品方向、安全運(yùn)營和數(shù)據(jù)分析方向、安全攻防和應(yīng)急方向。除了這個方向，還有個未列出來的方向—安全管理方向，放心少年，這個方向你一時半會用不到，哪個公司傻乎乎的上來就讓一個萌新去做安全管理？

縱觀所有行業(yè)，從來沒有一個管理者是從畢業(yè)生直接校招進(jìn)來做的。如果有，請記得聯(lián)系我，我還有好幾個表弟表妹馬上就大學(xué)畢業(yè)了，讓他們?nèi)?yīng)聘去。

那么問題來了？這三個方向?qū)W習(xí)的內(nèi)容是一樣的嗎？

顯然不一樣啊，要不然分什么方向，吃飽撐的啊。這個就跟當(dāng)年高中文理分科一樣，問啥要分，因?yàn)閮?nèi)容太多，不同的人擅長點(diǎn)不一樣，學(xué)習(xí)的內(nèi)容那么多，時間那么少，要么壓縮內(nèi)容，要么拉長時間。言歸正傳，這三個方向，在實(shí)際工作中需要哪些技能點(diǎn)？

安全產(chǎn)品方向：懂產(chǎn)品，如防火墻、上網(wǎng)行為管理、入侵檢測/保護(hù)、網(wǎng)閘、vpn、數(shù)據(jù)庫審計(jì)、堡壘機(jī)、抗拒絕服務(wù)、云防護(hù)產(chǎn)品、殺毒、準(zhǔn)入、web應(yīng)用防火墻、虛擬化安全產(chǎn)品等等。

安全運(yùn)營和數(shù)據(jù)分析方向：安全服務(wù)、安全測評、風(fēng)險評估、等級保護(hù)、ISO 27000、日志分析、威脅分析、soc運(yùn)營等等。

安全攻防和應(yīng)急方向：web攻防、系統(tǒng)攻防、內(nèi)網(wǎng)滲透、應(yīng)急響應(yīng)、代碼審計(jì)、移動apk監(jiān)測、工控系統(tǒng)安全檢測等等。

繼續(xù)，咱們分寫總結(jié)一下這三個方向的共同點(diǎn)

安全產(chǎn)品方向：產(chǎn)品都是部署在網(wǎng)絡(luò)上的，所以想入門產(chǎn)品，首先要入門的是網(wǎng)絡(luò)基礎(chǔ)（思科華為華三都可以），在一個需要調(diào)試安全策略，所以需要懂基本的安全知識和原理，總結(jié)下來，安全產(chǎn)品入門需要 網(wǎng)絡(luò)基礎(chǔ)+基礎(chǔ)攻防

安全運(yùn)營和數(shù)據(jù)分析方向：需要對業(yè)務(wù)系統(tǒng)進(jìn)行操作，要了解重要業(yè)務(wù)系統(tǒng)的安全配置是否服務(wù)要求，要了解操作系統(tǒng)（windows、linux），了解中間件、了解數(shù)據(jù)庫。了解需要了解國家政策要求，既然是安全威脅分析，肯定要懂基本的安全知識和原理啦，甚至還能的驗(yàn)證一下漏洞?？偨Y(jié)下來 安全運(yùn)營和數(shù)據(jù)分析方向入門需要：操作系統(tǒng)+中間件配置+數(shù)據(jù)庫配置+基礎(chǔ)攻防

安全攻防和應(yīng)急方向：既然是攻防了，肯定要懂攻擊，要有一定的編程語言能力，要登錄系統(tǒng)應(yīng)急，那就要懂操作系統(tǒng)、懂中間件、懂?dāng)?shù)據(jù)庫，因此總結(jié)下來，入門需要操作系統(tǒng)+中間件配置+數(shù)據(jù)庫+高級攻防

當(dāng)然作為產(chǎn)品工程師就真的不需要懂操作系統(tǒng)嗎，顯然不是，國內(nèi)大多數(shù)安全產(chǎn)品都是基于開源linux開發(fā)的，不懂的話，出現(xiàn)設(shè)備異常了怎么進(jìn)入設(shè)備后臺調(diào)試。作為安全攻防工程師不需要懂網(wǎng)絡(luò)嗎？不用那么深入，什么ospf，什么大二層、什么SDN,可以不用懂，但是基礎(chǔ)的網(wǎng)絡(luò)應(yīng)該懂吧，要不然連IP地址都看不懂，追查誰去啊。

那么問題又來了，作為萌新小白，我該先學(xué)什么，在學(xué)什么？

既然你都問的這么直白了，我就告訴你，零基礎(chǔ)從什么開始學(xué)起

最先學(xué)起的網(wǎng)絡(luò)基礎(chǔ)+操作系統(tǒng)+中間件+數(shù)據(jù)庫，相信大學(xué)里大家基本都學(xué)習(xí)過，有的沒學(xué)過的，可以到網(wǎng)上找點(diǎn)去學(xué)習(xí)。

然后在稍微補(bǔ)充一點(diǎn)基本的語言功底，建議php，這個目前比較流行。

接下來就是學(xué)習(xí)基礎(chǔ)攻防了，先了解踩點(diǎn)、枚舉、漏洞掃描、然后在了解漏洞利用、web網(wǎng)站滲透，在了解木馬、提權(quán)、橫向滲透，最后了解日志清楚、權(quán)限維持。

上面算是一個標(biāo)準(zhǔn)的黑客攻擊流程

網(wǎng)絡(luò)安全學(xué)習(xí)路線&學(xué)習(xí)資源

【----幫助網(wǎng)安學(xué)習(xí)，以下所有學(xué)習(xí)資料免費(fèi)領(lǐng)！】

① 網(wǎng)安學(xué)習(xí)成長路徑思維導(dǎo)圖
② 60+網(wǎng)安經(jīng)典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網(wǎng)安攻防實(shí)戰(zhàn)技術(shù)電子書
⑤ 最權(quán)威CISSP 認(rèn)證考試指南+題庫
⑥ 超1800頁CTF實(shí)戰(zhàn)技巧手冊
⑦ 最新網(wǎng)安大廠面試題合集（含答案）
⑧ APP客戶端安全檢測指南（安卓+IOS）

網(wǎng)絡(luò)安全的知識多而雜，怎么科學(xué)合理安排？

初級

1、網(wǎng)絡(luò)安全理論知識（2天）

①了解行業(yè)相關(guān)背景，前景，確定發(fā)展方向。 ②學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)。 ③網(wǎng)絡(luò)安全運(yùn)營的概念。 ④等保簡介、等保規(guī)定、流程和規(guī)范。（非常重要）

2、滲透測試基礎(chǔ)（一周）

①滲透測試的流程、分類、標(biāo)準(zhǔn) ②信息收集技術(shù)：主動/被動信息搜集、Nmap工具、Google Hacking ③漏洞掃描、漏洞利用、原理，利用方法、工具（MSF）、繞過IDS和反病毒偵察 ④主機(jī)攻防演練：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系統(tǒng)基礎(chǔ)（一周）

①Windows系統(tǒng)常見功能和命令 ②Kali Linux系統(tǒng)常見功能和命令 ③操作系統(tǒng)安全（系統(tǒng)入侵排查/系統(tǒng)加固基礎(chǔ)）

4、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)（一周）

①計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、協(xié)議和架構(gòu) ②網(wǎng)絡(luò)通信原理、OSI模型、數(shù)據(jù)轉(zhuǎn)發(fā)流程 ③常見協(xié)議解析（HTTP、TCP/IP、ARP等） ④網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全防御技術(shù) ⑤Web漏洞原理與防御：主動/被動攻擊、DDOS攻擊、CVE漏洞復(fù)現(xiàn)

5、數(shù)據(jù)庫基礎(chǔ)操作（2天）

①數(shù)據(jù)庫基礎(chǔ) ②SQL語言基礎(chǔ) ③數(shù)據(jù)庫安全加固

6、Web滲透（1周）

①HTML、CSS和JavaScript簡介 ②OWASP Top10 ③Web漏洞掃描工具 ④Web滲透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏掃等）

恭喜你，如果學(xué)到這里，你基本可以從事一份網(wǎng)絡(luò)安全相關(guān)的工作，比如滲透測試、Web 滲透、安全服務(wù)、安全分析等崗位；如果等保模塊學(xué)的好，還可以從事等保工程師。薪資區(qū)間6k-15k

到此為止，大概1個月的時間。你已經(jīng)成為了一名“腳本小子”。那么你還想往下探索嗎？

7、腳本編程（初級/中級/高級）

在網(wǎng)絡(luò)安全領(lǐng)域。是否具備編程能力是“腳本小子”和真正黑客的本質(zhì)區(qū)別。在實(shí)際的滲透測試過程中，面對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，當(dāng)常用工具不能滿足實(shí)際需求的時候，往往需要對現(xiàn)有工具進(jìn)行擴(kuò)展，或者編寫符合我們要求的工具、自動化腳本，這個時候就需要具備一定的編程能力。在分秒必爭的CTF競賽中，想要高效地使用自制的腳本工具來實(shí)現(xiàn)各種目的，更是需要擁有編程能力.

零基礎(chǔ)入門，建議選擇腳本語言Python/PHP/Go/Java中的一種，對常用庫進(jìn)行編程學(xué)習(xí)； 搭建開發(fā)環(huán)境和選擇IDE,PHP環(huán)境推薦Wamp和XAMPP， IDE強(qiáng)烈推薦Sublime； ·Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語法、正則、文件、 網(wǎng)絡(luò)、多線程等常用庫，推薦《Python核心編程》，不要看完； ·用Python編寫漏洞的exp,然后寫一個簡單的網(wǎng)絡(luò)爬蟲； ·PHP基本語法學(xué)習(xí)并書寫一個簡單的博客系統(tǒng)； 熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個PHP框架或者Python框架 (可選)； ·了解Bootstrap的布局或者CSS。

8、超級黑客

這部分內(nèi)容對零基礎(chǔ)的同學(xué)來說還比較遙遠(yuǎn)，就不展開細(xì)說了，貼一個大概的路線。感興趣的童鞋可以研究一下，不懂得地方可以【點(diǎn)這里】加我耗油，跟我學(xué)習(xí)交流一下。

網(wǎng)絡(luò)安全工程師企業(yè)級學(xué)習(xí)路線

如圖片過大被平臺壓縮導(dǎo)致看不清的話，可以【點(diǎn)這里】加我耗油發(fā)給你，大家也可以一起學(xué)習(xí)交流一下。

學(xué)習(xí)教程

第一階段：零基礎(chǔ)入門系列教程

第二階段：學(xué)習(xí)書籍

第三階段：實(shí)戰(zhàn)文檔

尾言

最后，我其實(shí)要給部分人潑冷水，因?yàn)檎f實(shí)話，上面講到的資料包獲取沒有任何的門檻。

但是，我覺得很多人拿到了卻并不會去學(xué)習(xí)。

大部分人的問題看似是“如何行動”，其實(shí)是“無法開始”。

幾乎任何一個領(lǐng)域都是這樣，所謂“萬事開頭難”，絕大多數(shù)人都卡在第一步，還沒開始就自己把自己淘汰出局了。

如果你真的確信自己喜歡網(wǎng)絡(luò)安全/黑客技術(shù)，馬上行動起來，比一切都重要。

特別聲明：

此教程為純技術(shù)分享！本書的目的決不是為那些懷有不良動機(jī)的人提供及技術(shù)支持！也不承擔(dān)因?yàn)榧夹g(shù)被濫用所產(chǎn)生的連帶責(zé)任！本書的目的在于最大限度地喚醒大家對網(wǎng)絡(luò)安全的重視，并采取相應(yīng)的安全措施，從而減少由網(wǎng)絡(luò)安全而帶來的經(jīng)濟(jì)損失。?。?！