在我看來這是一個偽命題，因為網(wǎng)絡安全的核心和本質是持續(xù)對抗，只要威脅持續(xù)存在，網(wǎng)絡安全的紅利就會持續(xù)存在！

對于網(wǎng)絡安全新入行的同學們來說，這是一個最壞的時代，因為你只能自己搭環(huán)境才能重現(xiàn)那些大牛們、教科書上的漏洞了。

同時，對于網(wǎng)絡安全新入行的同學們來說，這是一個最好的時代，因為國家的網(wǎng)絡空間強國政策風吹起來了，就業(yè)機會比10年前多了太多了。

再也不用糾結要不要干黑產(chǎn)掙錢又擔心被抓。好好學習，百萬年薪職位等著你，站著把錢掙了。

上面的這些話看起來可能有點假、大、空，那我接下來給你講點實際的東西，希望對你有幫助：

進入正題

首先,在準備進入這個行業(yè)之前，我們要問一下我們的內心，工作千千萬，為什么要想進入這個行業(yè)？

相信每個人的答案都不一樣，有的人會說，這個行業(yè)整體上比其他行業(yè)賺錢多，有的人會說特別喜歡技術，想鉆研一下。還有人會說，這個行業(yè)處于風口，未來積攢人脈創(chuàng)業(yè)。不管你的回答是怎么樣的，不管你是為了錢還是為了技術，咱們都要對自己有一個準確的定位，要明確未來幾年你想得到什么結果，有了這個目標咱們再去奮斗。如果你想在這個行業(yè)不用任何的積攢，想躺著就能賺錢，沒有一個行業(yè)允許這樣，更何況網(wǎng)絡安全行業(yè)還是一個新興行業(yè)。

有了目標，才有動力去學習，下面咱們要了解一下，網(wǎng)絡安全行業(yè)都有哪些崗位？你適合哪些崗位

咱們新興技術不做羅列，就算傳統(tǒng)的安全崗位：安全產(chǎn)品工程師（或者售后工程師）、安全咨詢師（售前工程師）、滲透測試工程師、銷售、安全開發(fā)工程師、安全運維工程師、應急響應工程師、等級保護測評師、安全服務工程師。大體上這么多，其他小眾崗位就不一一列舉了。

安全崗位的大體工作內容或職責

售后工程師：安全產(chǎn)品的售后服務工作，包括安全產(chǎn)品的交付實施、售后支撐、產(chǎn)品調試上架。比如客戶買了咱們的防火墻，咱們要派人去安裝調試吧，總不能讓客戶自己去安裝吧。這是產(chǎn)品工程師或者售后工程師的主要工作內容。

售前工程師：主要是協(xié)助銷售完成跟單，說的通俗易懂一點就是跟銷售配合，一個做商務關系（吃吃喝喝、送禮請客）一個做技術方案（解決客戶的痛點），兩個人配合拿下項目。

滲透測試工程師：這個崗位是大多數(shù)人夢寐以求的，展現(xiàn)個人技術的時候到了。主要是模擬黑客對目標業(yè)務系統(tǒng)進行攻擊，點到為止。

銷售：不再贅述，估計你們年輕的人也不太關心，但是等你成長了，你就會發(fā)現(xiàn)，你以前的對銷售的認知是多么的扯淡。

安全開發(fā)工程師：嗯，就是搞開發(fā)，要對安全也要了解，比如開發(fā)一個web應用防火墻，連web攻擊都不懂，那還開發(fā)個啥，閉門造車啊，能防的注嗎？

安全運維工程師：一個單位買了那么多安全產(chǎn)品，肯定要有人做運維的，分析一下日志，升級一下策略。定期檢查一下業(yè)務系統(tǒng)的安全性，查看一下內網(wǎng)當中有沒有威脅，這都是安全運維工程師要做的內容。

應急響應工程師：客戶業(yè)務系統(tǒng)被攻擊，要快速定位安全問題，要快速恢復業(yè)務系統(tǒng)，有的甚至還要取證報警。（家里如果被偷東西價值太大，你還不報警？心咋這么大）

等級保護測評師：按照國家要求，重要的業(yè)務系統(tǒng)需要按照安全等級進行保護的，目前國家已經(jīng)發(fā)布了等級保護2.0標準，要按照這個標準進行建設。等級保護測評師的工作就是協(xié)助客戶檢查一下業(yè)務系統(tǒng)是否滿足等級保護的要求，不滿足的趕緊整改。

安全服務工程師：好多企業(yè)把滲透測試工程師也歸到安全服務工程師里面，無傷大雅。不懂安全服務，還不懂吃飯的服務員嘛，就是協(xié)助客戶做好安全工作，具體的內容比如常見的漏洞掃描、基線檢測、滲透測試、網(wǎng)絡架構梳理、風險評估等工作內容。安全服務的面很大的，幾乎涵蓋了上述所有崗位的內容。

說了這么多崗位，把銷售和開發(fā)踢出去，（大多數(shù)少年不關心這兩個崗位），其他崗位咱們在劃分一下，其實就是三個方向：安全產(chǎn)品方向、安全運營和數(shù)據(jù)分析方向、安全攻防和應急方向。除了這個方向，還有個未列出來的方向—安全管理方向，放心少年，這個方向你一時半會用不到，哪個公司傻乎乎的上來就讓一個萌新去做安全管理？

縱觀所有行業(yè)，從來沒有一個管理者是從畢業(yè)生直接校招進來做的。如果有，請記得聯(lián)系我，我還有好幾個表弟表妹馬上就大學畢業(yè)了，讓他們去應聘去。

那么問題來了？這三個方向學習的內容是一樣的嗎？

顯然不一樣啊，要不然分什么方向，吃飽撐的啊。這個就跟當年高中文理分科一樣，問啥要分，因為內容太多，不同的人擅長點不一樣，學習的內容那么多，時間那么少，要么壓縮內容，要么拉長時間。言歸正傳，這三個方向，在實際工作中需要哪些技能點？

安全產(chǎn)品方向：懂產(chǎn)品，如防火墻、上網(wǎng)行為管理、入侵檢測/保護、網(wǎng)閘、vpn、數(shù)據(jù)庫審計、堡壘機、抗拒絕服務、云防護產(chǎn)品、殺毒、準入、web應用防火墻、虛擬化安全產(chǎn)品等等。

安全運營和數(shù)據(jù)分析方向：安全服務、安全測評、風險評估、等級保護、ISO 27000、日志分析、威脅分析、soc運營等等。

安全攻防和應急方向：web攻防、系統(tǒng)攻防、內網(wǎng)滲透、應急響應、代碼審計、移動apk監(jiān)測、工控系統(tǒng)安全檢測等等。

繼續(xù)，咱們分寫總結一下這三個方向的共同點

安全產(chǎn)品方向：產(chǎn)品都是部署在網(wǎng)絡上的，所以想入門產(chǎn)品，首先要入門的是網(wǎng)絡基礎（思科華為華三都可以），在一個需要調試安全策略，所以需要懂基本的安全知識和原理，總結下來，安全產(chǎn)品入門需要 網(wǎng)絡基礎+基礎攻防

安全運營和數(shù)據(jù)分析方向：需要對業(yè)務系統(tǒng)進行操作，要了解重要業(yè)務系統(tǒng)的安全配置是否服務要求，要了解操作系統(tǒng)（windows、linux），了解中間件、了解數(shù)據(jù)庫。了解需要了解國家政策要求，既然是安全威脅分析，肯定要懂基本的安全知識和原理啦，甚至還能的驗證一下漏洞?？偨Y下來 安全運營和數(shù)據(jù)分析方向入門需要：操作系統(tǒng)+中間件配置+數(shù)據(jù)庫配置+基礎攻防

安全攻防和應急方向：既然是攻防了，肯定要懂攻擊，要有一定的編程語言能力，要登錄系統(tǒng)應急，那就要懂操作系統(tǒng)、懂中間件、懂數(shù)據(jù)庫，因此總結下來，入門需要操作系統(tǒng)+中間件配置+數(shù)據(jù)庫+高級攻防

當然作為產(chǎn)品工程師就真的不需要懂操作系統(tǒng)嗎，顯然不是，國內大多數(shù)安全產(chǎn)品都是基于開源linux開發(fā)的，不懂的話，出現(xiàn)設備異常了怎么進入設備后臺調試。作為安全攻防工程師不需要懂網(wǎng)絡嗎？不用那么深入，什么ospf，什么大二層、什么SDN,可以不用懂，但是基礎的網(wǎng)絡應該懂吧，要不然連IP地址都看不懂，追查誰去啊。

那么問題又來了，作為萌新小白，我該先學什么，在學什么？

既然你都問的這么直白了，我就告訴你，零基礎從什么開始學起

最先學起的網(wǎng)絡基礎+操作系統(tǒng)+中間件+數(shù)據(jù)庫，相信大學里大家基本都學習過，有的沒學過的，可以到網(wǎng)上找點資料去學習。

然后在稍微補充一點基本的語言功底，建議php，這個目前比較流行。

接下來就是學習基礎攻防了，先了解踩點、枚舉、漏洞掃描、然后在了解漏洞利用、web網(wǎng)站滲透，在了解木馬、提權、橫向滲透，最后了解日志清楚、權限維持。

如果你還是不清楚，那我分享一個網(wǎng)絡安全知識體系圖給你，希望對剛入門的你有幫助！

如果你想通過自學的方式入門網(wǎng)絡安全的話，那建議你仔細看看上面這個學習路線圖，如果你還是不知道怎么學，那我再給你列一個文字版的，具體到每個知識點學多久，怎么學，自學時間共計半年左右（文末有彩蛋）：

4.1、Web安全相關概念（2周）

• 熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。通過關鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進行Google/SecWiki；
• 閱讀《精通腳本黑客》，雖然很舊也有錯誤，但是入門還是可以的；
• 看一些滲透筆記/視頻，了解滲透實戰(zhàn)的整個過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

4.2、熟悉滲透相關工具（3周）

• 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。
• 了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；
• 下載無后門版的這些軟件進行安裝；
• 學習并進行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；
• 待常用的這幾個軟件都學會了可以安裝音速啟動做一個滲透工具箱；

4.3、滲透實戰(zhàn)操作（5周）

• 掌握滲透的整個階段并能夠獨立滲透小型站點。網(wǎng)上找滲透視頻看并思考其中的思路和原理，關鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫備份、dedecms漏洞利用等等）；
• 自己找站點/搭建測試環(huán)境進行測試，記住請隱藏好你自己；
• 思考滲透主要分為幾個階段，每個階段需要做那些工作，例如這個：PTES滲透測試執(zhí)行標準；研究SQL注入的種類、注入原理、手動注入技巧；
• 研究文件上傳的原理，如何進行截斷、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；
• 研究XSS形成的原理和種類，具體學習方法可以Google/SecWiki，可以參考：XSS；
• 研究Windows/Linux提權的方法和具體使用，可以參考：提權；可以參考: 開源滲透測試脆弱系統(tǒng)；

4.4、關注安全圈動態(tài)（1周）

• 關注安全圈的最新漏洞、安全事件與技術文章。通過SecWiki瀏覽每日的安全技術文章/事件；
• 通過Weibo/twitter關注安全圈的從業(yè)人員（遇到大牛的關注或者好友果斷關注），天天抽時間刷一下；
• 通過feedly/鮮果訂閱國內外安全技術博客（不要僅限于國內，平時多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；
• 養(yǎng)成習慣，每天主動提交安全技術文章鏈接到SecWiki進行積淀；
• 多關注下最新漏洞列表，推薦幾個：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實踐下。
• 關注國內國際上的安全會議的議題或者錄像，推薦SecWiki-Conference。

4.5、熟悉Windows/Kali Linux（3周）

• 學習Windows/Kali Linux基本命令、常用工具；
• 熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；
• 熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；
• 熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；
• 熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測試指南》。

4.6、服務器安全配置（3周）

• 學習服務器環(huán)境配置，并能通過思考發(fā)現(xiàn)配置存在的安全問題。Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運行權限，可以參考：SecWiki-配置；
• Linux環(huán)境下的LAMP的安全配置，主要考慮運行權限、跨目錄、文件夾權限等，可以參考：SecWiki-配置；
• 遠程系統(tǒng)加固，限制用戶名和口令登陸，通過iptables限制端口；
• 配置軟件Waf加強系統(tǒng)安全，在服務器配置mod_security等系統(tǒng)，參見SecWiki-ModSecurity；
• 通過Nessus軟件對配置環(huán)境進行安全檢測，發(fā)現(xiàn)未知安全威脅。

4.7、腳本編程學習（4周）

• 選擇腳本語言Perl/Python/PHP/Go/Java中的一種，對常用庫進行編程學習。搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；
• Python編程學習，學習內容包含：語法、正則、文件、網(wǎng)絡、多線程等常用庫，推薦《Python核心編程》，不要看完；
• 用Python編寫漏洞的exp，然后寫一個簡單的網(wǎng)絡爬蟲，可參見SecWiki-爬蟲、視頻；
• PHP基本語法學習并書寫一個簡單的博客系統(tǒng)，參見《PHP與MySQL程序設計（第4版）》、視頻；
• 熟悉MVC架構，并試著學習一個PHP框架或者Python框架（可選）；
• 了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

4.8、源碼審計與漏洞分析（3周）

• 能獨立分析腳本源碼程序并發(fā)現(xiàn)安全問題。熟悉源碼審計的動態(tài)和靜態(tài)方法，并知道如何去分析程序，參見SecWiki-審計；
• 從Wooyun上尋找開源程序的漏洞進行分析并試著自己分析；
• 了解Web漏洞的形成原因，然后通過關鍵字進行查找分析，參見SecWiki-代碼審計、高級PHP應用程序漏洞審核技術；
• 研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

4.9、安全體系設計與開發(fā)（5周）

• 能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構。開發(fā)一些實用的安全小工具并開源，體現(xiàn)個人實力；
• 建立自己的安全體系，對公司安全有自己的一些認識和見解；
• 提出或者加入大型安全系統(tǒng)的架構或者開發(fā)；
• 看自己發(fā)展咯~

五、總結

以上就是我對剛入行網(wǎng)絡安全的朋友的一些個人的建議！

最后有一點需要說明一下：

上面列舉到的不同方向的技術不是嚴格意義獨立的，相反，很多時候是相輔相成，需要結合起來，融會貫通。

每個人的認知是有限的，我也不例外。本篇回答只是我的一家之言，建議大家多看一些人的總結和經(jīng)驗，橫向對比，兼聽則明，偏聽則暗。

如果你想通過自學進入網(wǎng)絡安全這一行，我可以把我自己整理收藏的這些教程分享給你，里面不僅有web安全，還有滲透測試等等內容，包含電子書、面試題、pdf文檔、視頻以及相關的課件筆記，大部分我都看過，感覺還不錯，如果你需要的話，可以給這篇文章點個贊同與收藏，然后關注評論區(qū)或厚臺私信獲取。

如果覺得有幫助的話，可以幫我點贊收藏一下，寫的不對或不清楚的地方，也歡迎大家在評論區(qū)指出，謝謝！文章來源地址http://www.zghlxwxcb.cn/news/detail-462185.html

到了這里，關于網(wǎng)絡安全的紅利還能吃幾年？的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！