網路安全首先得學網路 ，就業方向的話學網路的最終目的是為了看清網路拓撲圖，對客戶機房安全規劃形成縱深防禦體系，如果純對技術感興趣就主要研究相關網路協議，主要是鏈路層、網路層、傳輸層跟部分應用層協議。

網路拓撲圖

網路學得差不多了（至少http/https抓包後能讀懂它在說什麼）就可以入手web安全。

為啥先要你學web安全呢，因為現在的網路環境不比當年了，當年的計算機埠都暴露在外面，很多應用都在公網上面裸奔，駭客可以直接進行掃描攻擊。而現在對整個內網系統有威脅的外部因素一般來說你就只能接觸到web了，web必須對外開放嘛，做出來不就是給別人看的嘛。駭客也一般透過先入侵web從而去對內網其他系統進行後滲透。

學習web安全呢，你除了弄懂http跟https協議以外還得知道這個web應用是咋搭建的吧，你得弄清楚它的構造才能庖丁解牛，掌握它的每一處薄弱點，所以你得學一部分網站開發相關知識體系，也不要求你學多深，

孤豈欲卿治經為博士邪？

你學點python，至少看懂部分程式碼，掌握其核心語法。然後學點web前端，學點web後端（因為web是由前端你能看到的花哨頁面+後端資料儲存組成）。學了這些之後你才具備合格滲透測試工程師入門的資格。

上面說了一大堆，接下來才是正事進入web安全領域，掌握OWASP TOP 10等常見Web漏洞原理與利用方式，例如SQL注入/檔案上傳/Webshell木馬編寫/命令執行/XSS跨站指令碼攻擊/CSRF跨站偽造請求等。上面每個攻擊手段都夠你玩很久了，你覺得你會了，其實還有更猥瑣的方法去實踐。

上面的web滲透你搞懂了之後就可以進行後滲透，也就是持續控制進行內網橫向滲透，現在不懂沒關係，搞完web滲透你就知道我在說啥了，因為web滲透可能不是你的最終目的，這時候你就得掌握相關係統層面漏洞，比如ms17-010永恆之藍等各種微軟ms漏洞。這時候你需要進一步強化自己的話，kali Linux是一個很好的學習平臺，比如它的metasploit平臺可以學習很多直接攻擊手段，上面集成了很多攻擊工具，這些工具就夠你玩一輩子了（當然網際網路日益更新，kali也在持續最佳化）。當然kali Linux也是Linux，所以掌握Linux作業系統命令是不可缺少的環節。

Linux命令除了對這個有用外，對你以後工作中遇到的客戶伺服器操作也有用，以後工作你會發現很多用Linux作業系統的伺服器，可以說是中大型企業主流作業系統了吧，不管是紅帽、Ubuntu還是centos都差不多。當然作業系統除了掌握Linux命令外，還得掌握dos的基本命令不過分吧。

你覺得上面的全會了你就是網路安全專家了嘛，no~no~no~ 我從多維度跟你分析一下你學了上面的技能之後處於網路安全中的啥位置。

從網路安全從業崗位來講，你僅僅只是算個滲透測試工程師，姑且算做安全服務的吧，但是安全服務還有很多業務，比如風險評估、等保測評、護網、紅藍對抗、攻防演練等等等等說不完，然而除了安全服務部門，還有研發部，你不會以為所有的安全防護全靠人工吧，與網路通訊領域一樣，網際網路安全產業中安全裝置等硬體產品佔了一大半市場經濟，在這裡我告訴你一個道理，在網際網路市場，跟硬體相關的東西都貴，其他服務類就是小巫見大巫了。

所以研發部就跟網際網路開發一樣，主要進行網路安全產品軟硬體開發，實際上就是安全領域內的程式設計師。除了搞開發的，這些個產品弄出來你得找銷售去賣吧，銷售得去挖掘客戶需求吧，銷售崗我就不說了，每個公司基本都有，咱們來談談這個挖掘需求，在安全行業有個崗位很特殊，很重要，不是說你技術多厲害，而是有種大局觀，要對客戶整個網路安全架構有個清楚的認知，哪些不足要改，怎麼改，該上啥裝置等等你都得仔細考慮然後寫個方案出來，這種人在安全領域叫售前工程師，一般都是對網路知識要求高同時對各類安全知識、安全標準、安全規則、相關法律法規有足夠了解，還要會組織語言跟客戶溝通，寫方案，獨當一面，將級人物。搞安全不是說一定要技術特別厲害，真正厲害的沒多少你要相信，能幫公司賺錢的才是人才。

那麼這些方案寫完了總得要人去實施吧，就催生出一個售後工程師的崗位，按照方案上裝置，啥啥防火牆、堡壘機、APT、日誌審計你該上機房哪個位置，是透明模式還是橋模式還是埠映象等等，那麼這個崗位就需要對網路知識有很深的瞭解，CCNA得學，華為的那個也是一樣的，要學的話我建議你先學思科的，然後自學華為的，都差不多，只不過CCNA搞得比較早，體系比較成熟，那我為啥要你還要自學華為的呢，因為網路安全越來越重視，目前國內都在向國產化軟硬體靠攏，這是大勢所趨，政策驅使，最終絕大部分會被完全取代。

除了售後之外，如果在客戶現場裝好了產品，結果客戶不會用咋辦，或者說客戶需要人來每天運維這中安全產品怎麼辦？這樣又有一種工程師叫安全運維工程師，又叫駐場工程師，一般是乙方以安全服務形式租給甲方人員。這裡的安全運維工程師跟那種是個網際網路公司都招聘的什麼安全運維工程師不一樣啊，這裡需要你掌握相當一部分滲透知識跟安全裝置相關知識，做好每天的事情，出具相關報告，有安全問題的時候及時配合解決，參與應急響應等等。還有程式碼審計崗位，安全研究崗位，逆向相關的很多很多。好了，這個維度我姑且就說整體這幾個崗位。

再從

應用場景

這個維度來分析，你所學習的安全也僅僅只是普通的web安全跟系統安全，實際上我們的生活中還有很多場景跟你學的知識不掛鉤，比如工業控制系統，啥叫工業控制系統呢，就是跟生活生產相關的，水、電、化學產品、生活用品，原來都是工廠生產，人工流水線，現在網際網路發達了，他們也用上了自己的網路體系，使產品的出產更加方便快捷，但是在方便快捷的同時就會催生很多安全問題，他們工控的軟硬體系統跟我們的什麼微軟作業系統完全不一樣，DCS、SCADA、PLC等一系列工控相關係統你都得重新學習，這還僅僅只是工控相關，順便說一句，工控是個大市場，由於部分不方便透露的原因現在逐步開放允許第三方安全廠家去跟他們看病。還有無線網路安全，無線AC、AP、自己家裡的wifi啥的都在這個範疇。還有現在智慧家居越來越成熟了，物聯網、車聯網越來越發達，這些東西都是需要聯網控制的啊，只要你聯網就不怕你出問題，就會催生一系列安全問題需要解決。還有什麼雲安全、移動安全等等等等我都不介紹了，說不完。

反正學無止境，當然培訓班可以給你一個很好的指導，不過自學也是必不可少的。

有不理解的可以評論區留言諮詢哦~

作者：sheezer

連結：https：//www。zhihu。com/question/428394524/answer/1558040003