网络安全入门与进阶学习路线指南

网络安全方向概览

网络安全领域主要包含三个核心岗位方向：安全研发、二进制安全研究、网络渗透。

1. 安全研发

安全研发涉及开发与网络安全业务相关的软件。除了通用的前端、后端、大数据分析等岗位外，还有与安全业务紧密相关的研发岗位，主要分为两类：

• 做安全产品开发（如防火墙、IDS、IPS、WAF、数据库网关、NTA、SIEM、EDR、DLP 等）
• 做安全工具开发（攻防工具）

这些产品主要用于检测发现、抵御安全攻击，涉及终端侧和网络侧。开发技术栈以 C/C++、Java、Python 为主，部分涉及 GoLang、Rust。

2. 二进制安全

这是安全领域的两大技术方向之一，主要涉及软件漏洞挖掘、逆向工程、病毒木马分析等工作。涉及操作系统内核分析、调试与反调试、反病毒等技术。

该方向特点是需要耐得住寂寞，经常花费数月甚至数年时间研究一个问题，对天分和坚持要求较高。

3. 网络渗透

这个方向更符合大众对'黑客'的认知，能够进行手机、电脑、网站、服务器、内网等渗透测试。

相比二进制安全，初期更容易入门，掌握基本技术和现成工具即可上手。但要想成为高手，需要掌握更广泛的技术，包括网络硬件设备、通信协议、网络服务（Web、邮件、文件、数据库等）、操作系统及攻击手法，偏向全能型计算机专家。

学习路线详解

以下以网络渗透为例，介绍从零基础到进阶的学习路径，共划分为六个阶段。

石器时代（基础阶段）

针对纯新手小白，主要打基础。

Windows

• 基础命令、PowerShell 使用及简单脚本编写。
• 重要组件：注册表、组策略管理器、任务管理器、事件查看器等。
• 学会在 Windows 上搭建虚拟机，安装系统。

Linux

• 网络安全必学。避免直接上手 Kali，先建立基本概念。
• 重点：文本编辑、文件、网络、权限、磁盘、用户等相关命令。

计算机网络

• 宏观学习，理解局域网与广域网/互联网。
• 关键概念：以太网、集线器、交换机、MAC 地址、IP 地址、子网掩码。
• 协议分层模型（七层/四层），各层协议作用及应用。

Web 基础

• Web 前端三板斧：HTML+CSS+JS。
• 动手实践网页编程，熟悉 JavaScript、Ajax、jQuery 库。

数据库基础

• 理论知识：库、表、索引概念。
• SQL 编写：增删改查数据。

青铜时代（进阶基础）

在第一阶段之上，难度开始上升。

Web 进阶

• Web 服务器：Apache 和 Nginx 基础知识。
• 动态网页原理：CGI/Fast-CGI 过渡到 ASP/PHP/ASPX/JSP。
• Web 开发基础：表单操作、Session/Cookie、JWT、LocalStorage。

PHP 编程

• 学习语法基础、后端请求处理、数据库访问。
• 了解 ThinkPHP 框架。目的是研究安全问题而非从事 PHP 开发。

计算机网络进阶

• 重点：HTTP/HTTPS 及抓包分析。
• 工具：Linux tcpdump、Wireshark、Fiddler。

加解密技术

• 编解码技术：Base64 编码。
• 加密技术：对称加密、非对称加密、哈希技术。
• 推荐书籍：《加密与解密》。

白银时代（Web 安全入门）

全面学习真正的网络安全技术。

Web 安全入门

• 典型攻击手法：SQL 注入、XSS、CSRF、各种注入、SSRF、文件上传漏洞等。
• 注意：严禁攻击互联网上的真实网站，需在虚拟机中搭建漏洞环境练习。

网络扫描与注入

• 信息搜集：目标操作系统、开放端口、运行服务、版本信息等。
• 工具：端口扫描、网站后台扫描、漏洞扫描工具。

信息搜集 & 社会工程学

• 域名信息查询：Whois。
• 网络空间搜索引擎：Shodan、ZoomEye、FOFA、Google Hacking。

暴力破解

• 常见服务：SSH、RDP、MySQL、Redis、Web 表单。
• 工具：Hydra、超级弱口令、Mimikatz（Windows 密码获取）。

黄金时代（防御与检测）

学习安全防御和安全检测技术。

WAF 技术

• Web 应用防火墙原理：基于特征、基于行为、基于机器学习。
• 主流架构：OpenResty、ModSecurity。

网络协议攻击 & 入侵检测

• 传统攻击：TCP 劫持、DNS 劫持、DDoS、DNS 隧道、ARP 欺骗、ARP 泛洪。
• 防守：网络流量分析技术、检测框架、规则语法。

日志技术

• 常见日志：系统登录日志（Windows/Linux）、Web 服务器日志、数据库日志。
• 攻防双方均需掌握日志分析与清理技术。

Python 编程

• 用途：爬虫、数据处理、网络扫描工具、漏洞 POC 编写。

浏览器安全

• 主流浏览器特性：IE、Chrome。
• 机制：沙盒机制、同源策略、跨域技术。

铂金时代（组件与内网）

第三方组件漏洞

• 研究对象：Spring 全家桶、SSM、Redis、MySQL、Nginx、Tomcat、Docker 等。
• 目的：掌握实战攻击手法及触类旁通进行漏洞挖掘。

内网渗透

• 攻入后如何转移、控制更多节点。
• 案例：永恒之蓝病毒（SMB 协议漏洞）。
• 需多搭建环境模拟学习。

操作系统安全技术 & 提权 & 虚拟化

• 权限管理机制、提权方法和常用漏洞。
• 虚拟化逃逸场景应对。

王者时代（高级工具与拓展）

CobalStrike & MetaSploit

• 渗透必备神器，综合运用信息扫描、漏洞攻击、内网渗透、木马植入、端口反弹等技术。

其他安全技术拓展

• 二进制漏洞攻击、逆向工程、木马技术、内核安全、移动安全、侧信道攻击等。
• 构建全方位的网络安全知识技能栈。

结语

网络安全学习是一个持续积累的过程，建议结合实战环境不断练习。遵守法律法规，仅在授权范围内进行测试。