网络安全工程师的入门学习的路径

网络安全工程师的入门学习的路径

最近看到网上有很多人在问诸如：“怎样成为网络信息安全工程师”等相关问题，这可能与近几年网络安全事件频发，国家对于互联网信息安全和互联网舆情的重视程度不断提升有关，网络信息安全工程师随之成为炙手可热的职业。

首先，我们来看看网络安全工程师的定义：指遵照信息安全管理体系和标准工作，防范黑客入侵并进行分析和防范，通过运用各种安全产品和技术，设置防火墙、防病毒、IDS、PKI、攻防技术等。同时进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等的人员。

从这个定义中，我们能清楚的看到从事网络安全工作需要掌握的技能。这些知识和技能不是一朝一夕就能修成正果的。需要注意的是：计算机知识与网络安全息息相关，学校学习的计算机基础知识是进阶到网络安全学习的基石，因为网络安全工程师是网络安全众多分支中的一条路径，所以，必须要把计算机知识这个根基打牢，这样，后期在学习或应用中，才能在网络安全众多分支中自如切换。所以，首先要打击一下急于求成的心态，抛弃那些标榜“宝典”、“诀窍”、“XX天从入门到精通”的书籍或教程，踏踏实实的学习每一项理论和技能才是正道。

进入正题，接下来，我们来分享一下如何由浅入深、循序渐进的get网络安全技能。

技能必备

web和程序相关内容：HTTP、前端、后端、PHP

网络安全路线不同于前端和后端，优先学习网络相关内容，网络安全即网络技术+安全技术

网络技术：搜索HCNA、CCNA、HCIA关键字教程，课程大纲（至少包含）如下：

以上学习完就有网络架构意识，下图是一个建议的学习框架

第一，了解防火墙设备的技术，包括防火墙的技术特点、策略配置、工作模式、安全过滤配置。学习一两个厂家的防火墙即可。防火墙集成了IPS相关内容有，稍微学习一下IPS内容。最后实验。

第二，了解VPN的配置教程，比如华为VPN的配置教程，其官网的技术支持官方配置文档可学习。技术包括VPN的加密原理、技术特点、应用场景。最后就做一下配置实验。

第三，以上了解了网络安全的硬件产品和技术。花费一周时间学习一个基本的网络渗透教程。

第四，web渗透学习之前，现需要学习的是HTTP协议然后关于web相关的一些内容比方说前端（包含了HTML、CSS、Java script即网页三剑客，不用太深入只需大概了解它们的用法用途以及代码层面的含义，然后自己可以做一些简单的小网页。对于网络工程师来说只是简单的做一下代码审计）、后端（包含了PHP、python。对于PHP了解一下基本配置、web框架相关内容；对于python简单学习其语法，后期对python进行深入的学习，python对于一个网络工程师是很重要的并且需要深入学习。）

第五，研究数据库，my SQL数据库，要求掌握增删改查即可。最后在自己电脑上搭建一个web站点，做一个基本的测试，完成搭建。

第六，研究web安全相关内容，即OWASP top10问题。里面的每个问题必须要非常清楚，且亲自去做实验。

第七，操作系统安全和代码审计。PHP代码审计（可算为中级别难度）主要针对web一些漏洞。最后做一些CTF渗透，渗透靶机，CTF4—CTF7靶机都练习一遍加深记忆。

以上网络安全的基础课程基本完成

使用python开发一些专属自己的安全工具，编写一些POC（proof of c）；高阶的是学习汇编、C语言、做逆向、做二进制漏洞挖掘。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等…

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。

当然你也可以看下面这个视频教程仅展示部分截图：

学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了黑客的重点关照对象，有事没事就来入侵一波，你说不管能行吗！

想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！

再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后我自己整理了一套【282G】网络安全&黑客技术零基础到进阶全套学习大礼包，免费分享！ ，需要的小伙伴可以扫描下方免费领取哦！