網(wǎng)絡(luò)安全首先得學(xué)網(wǎng)絡(luò) ，就業(yè)方向的話學(xué)網(wǎng)絡(luò)的最終目的是為了看清網(wǎng)絡(luò)拓?fù)鋱D，對客戶機(jī)房安全規(guī)劃形成縱深防御體系，如果純對技術(shù)感興趣就主要研究相關(guān)網(wǎng)絡(luò)協(xié)議，主要是鏈路層、網(wǎng)絡(luò)層、傳輸層跟部分應(yīng)用層協(xié)議。

　　網(wǎng)絡(luò)拓?fù)鋱D

　　網(wǎng)絡(luò)學(xué)得差不多了（至少http/https抓包后能讀懂它在說什么）就可以入手web安全。

　　為啥先要你學(xué)web安全呢，因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)環(huán)境不比當(dāng)年了，當(dāng)年的計(jì)算機(jī)端口都暴露在外面，很多應(yīng)用都在公網(wǎng)上面裸奔，黑客可以直接進(jìn)行掃描攻擊。而現(xiàn)在對整個內(nèi)網(wǎng)系統(tǒng)有威脅的外部因素一般來說你就只能接觸到web了，web必須對外開放嘛，做出來不就是給別人看的嘛。黑客也一般通過先入侵web從而去對內(nèi)網(wǎng)其他系統(tǒng)進(jìn)行后滲透。

　　學(xué)習(xí)web安全呢，你除了弄懂http跟https協(xié)議以外還得知道這個web應(yīng)用是咋搭建的吧，你得弄清楚它的構(gòu)造才能庖丁解牛，掌握它的每一處薄弱點(diǎn)，所以你得學(xué)一部分網(wǎng)站開發(fā)相關(guān)知識體系，也不要求你學(xué)多深，孤豈欲卿治經(jīng)為博士邪？你學(xué)點(diǎn)python，至少看懂部分代碼，掌握其核心語法。然后學(xué)點(diǎn)web前端，學(xué)點(diǎn)web后端（因?yàn)閣eb是由前端你能看到的花哨頁面+后端數(shù)據(jù)儲存組成）。學(xué)了這些之后你才具備合格滲透測試工程師入門的資格。

　　上面說了一大堆，接下來才是正事進(jìn)入web安全領(lǐng)域，掌握OWASP TOP 10等常見Web漏洞原理與利用方式，例如SQL注入/文件上傳/Webshell木馬編寫/命令執(zhí)行/XSS跨站腳本攻擊/CSRF跨站偽造請求等。上面每個攻擊手段都夠你玩很久了，你覺得你會了，其實(shí)還有更猥瑣的方法去實(shí)踐。

　　上面的web滲透你搞懂了之后就可以進(jìn)行后滲透，也就是持續(xù)控制進(jìn)行內(nèi)網(wǎng)橫向滲透，現(xiàn)在不懂沒關(guān)系，搞完web滲透你就知道我在說啥了，因?yàn)閣eb滲透可能不是你的最終目的，這時候你就得掌握相關(guān)系統(tǒng)層面漏洞，比如ms17-010永恒之藍(lán)等各種微軟ms漏洞。這時候你需要進(jìn)一步強(qiáng)化自己的話，kali Linux是一個很好的學(xué)習(xí)平臺，比如它的metasploit平臺可以學(xué)習(xí)很多直接攻擊手段，上面集成了很多攻擊工具，這些工具就夠你玩一輩子了（當(dāng)然互聯(lián)網(wǎng)日益更新，kali也在持續(xù)優(yōu)化）。當(dāng)然kali Linux也是Linux，所以掌握Linux操作系統(tǒng)命令是不可缺少的環(huán)節(jié)。

　　Linux命令除了對這個有用外，對你以后工作中遇到的客戶服務(wù)器操作也有用，以后工作你會發(fā)現(xiàn)很多用Linux操作系統(tǒng)的服務(wù)器，可以說是中大型企業(yè)主流操作系統(tǒng)了吧，不管是紅帽、Ubuntu還是centos都差不多。當(dāng)然操作系統(tǒng)除了掌握Linux命令外，還得掌握dos的基本命令不過分吧。

　　你覺得上面的全會了你就是網(wǎng)絡(luò)安全專家了嘛，no~no~no~ 我從多維度跟你分析一下你學(xué)了上面的技能之后處于網(wǎng)絡(luò)安全中的啥位置。

　　從網(wǎng)絡(luò)安全從業(yè)崗位來講，你僅僅只是算個滲透測試工程師，姑且算做安全服務(wù)的吧，但是安全服務(wù)還有很多業(yè)務(wù)，比如風(fēng)險(xiǎn)評估、等保測評、護(hù)網(wǎng)、紅藍(lán)對抗、攻防演練等等等等說不完，然而除了安全服務(wù)部門，還有研發(fā)部，你不會以為所有的安全防護(hù)全靠人工吧，與網(wǎng)絡(luò)通信領(lǐng)域一樣，互聯(lián)網(wǎng)安全產(chǎn)業(yè)中安全設(shè)備等硬件產(chǎn)品占了一大半市場經(jīng)濟(jì)，在這里我告訴你一個道理，在互聯(lián)網(wǎng)市場，跟硬件相關(guān)的東西都貴，其他服務(wù)類就是小巫見大巫了。

　　所以研發(fā)部就跟互聯(lián)網(wǎng)開發(fā)一樣，主要進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品軟硬件開發(fā)，實(shí)際上就是安全領(lǐng)域內(nèi)的程序員。除了搞開發(fā)的，這些個產(chǎn)品弄出來你得找銷售去賣吧，銷售得去挖掘客戶需求吧，銷售崗我就不說了，每個公司基本都有，咱們來談?wù)勥@個挖掘需求，在安全行業(yè)有個崗位很特殊，很重要，不是說你技術(shù)多厲害，而是有種大局觀，要對客戶整個網(wǎng)絡(luò)安全架構(gòu)有個清楚的認(rèn)知，哪些不足要改，怎么改，該上啥設(shè)備等等你都得仔細(xì)考慮然后寫個方案出來，這種人在安全領(lǐng)域叫售前工程師，一般都是對網(wǎng)絡(luò)知識要求高同時對各類安全知識、安全標(biāo)準(zhǔn)、安全規(guī)則、相關(guān)法律法規(guī)有足夠了解，還要會組織語言跟客戶溝通，寫方案，獨(dú)當(dāng)一面，將級人物。搞安全不是說一定要技術(shù)特別厲害，真正厲害的沒多少你要相信，能幫公司賺錢的才是人才。

　　那么這些方案寫完了總得要人去實(shí)施吧，就催生出一個售后工程師的崗位，按照方案上設(shè)備，啥啥防火墻、堡壘機(jī)、APT、日志審計(jì)你該上機(jī)房哪個位置，是透明模式還是橋模式還是端口鏡像等等，那么這個崗位就需要對網(wǎng)絡(luò)知識有很深的了解，CCNA得學(xué)，華為的那個也是一樣的，要學(xué)的話我建議你先學(xué)思科的，然后自學(xué)華為的，都差不多，只不過CCNA搞得比較早，體系比較成熟，那我為啥要你還要自學(xué)華為的呢，因?yàn)榫W(wǎng)絡(luò)安全越來越重視，目前國內(nèi)都在向國產(chǎn)化軟硬件靠攏，這是大勢所趨，政策驅(qū)使，最終絕大部分會被完全取代。

　　除了售后之外，如果在客戶現(xiàn)場裝好了產(chǎn)品，結(jié)果客戶不會用咋辦，或者說客戶需要人來每天運(yùn)維這中安全產(chǎn)品怎么辦？這樣又有一種工程師叫安全運(yùn)維工程師，又叫駐場工程師，一般是乙方以安全服務(wù)形式租給甲方人員。這里的安全運(yùn)維工程師跟那種是個互聯(lián)網(wǎng)公司都招聘的什么安全運(yùn)維工程師不一樣啊，這里需要你掌握相當(dāng)一部分滲透知識跟安全設(shè)備相關(guān)知識，做好每天的事情，出具相關(guān)報(bào)告，有安全問題的時候及時配合解決，參與應(yīng)急響應(yīng)等等。還有代碼審計(jì)崗位，安全研究崗位，逆向相關(guān)的很多很多。好了，這個維度我姑且就說整體這幾個崗位。

　　再從應(yīng)用場景這個維度來分析，你所學(xué)習(xí)的安全也僅僅只是普通的web安全跟系統(tǒng)安全，實(shí)際上我們的生活中還有很多場景跟你學(xué)的知識不掛鉤，比如工業(yè)控制系統(tǒng)，啥叫工業(yè)控制系統(tǒng)呢，就是跟生活生產(chǎn)相關(guān)的，水、電、化學(xué)產(chǎn)品、生活用品，原來都是工廠生產(chǎn)，人工流水線，現(xiàn)在互聯(lián)網(wǎng)發(fā)達(dá)了，他們也用上了自己的網(wǎng)絡(luò)體系，使產(chǎn)品的出產(chǎn)更加方便快捷，但是在方便快捷的同時就會催生很多安全問題，他們工控的軟硬件系統(tǒng)跟我們的什么微軟操作系統(tǒng)完全不一樣，DCS、SCADA、PLC等一系列工控相關(guān)系統(tǒng)你都得重新學(xué)習(xí)，這還僅僅只是工控相關(guān)，順便說一句，工控是個大市場，由于部分不方便透露的原因現(xiàn)在逐步開放允許第三方安全廠家去跟他們看病。還有無線網(wǎng)絡(luò)安全，無線AC、AP、自己家里的wifi啥的都在這個范疇。還有現(xiàn)在智能家居越來越成熟了，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)越來越發(fā)達(dá)，這些東西都是需要聯(lián)網(wǎng)控制的啊，只要你聯(lián)網(wǎng)就不怕你出問題，就會催生一系列安全問題需要解決。還有什么云安全、移動安全等等等等我都不介紹了，說不完。

　　反正學(xué)無止境，當(dāng)然培訓(xùn)班可以給你一個很好的指導(dǎo)，不過自學(xué)也是必不可少的。