网络安全专业主要学习什么呀

网络安全的定义是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性

网络安全行业分类、技能需求

根据不同的安全规范、应用场景、技术实现等，安全可以有很多分类方法，在这里我们简单分为网络安全、Web安全、云安全、移动安全（手机）、桌面安全（电脑）、主机安全（服务器）、工控安全、无线安全、数据安全 等不同领域。下面以个人所在行业和关注点，重点探讨 网络 / Web / 云这几个安全方向。

1  网络安全

[网络安全] 是安全行业最经典最基本的领域，也是目前国内安全公司发家致富的领域。这个领域研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸、入侵检测/防御、***网关（IPsec/SSL）、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。通过以上网络安全产品和技术，我们可以设计并提供一个安全可靠的网络架构，为政府/国企、互联网、银行、医院、学校等各行各行的网络基础设施保驾护航。

大的安全项目（肥肉…）主要集中在以政府/国企需求的政务网/税务网/社保网/电力网… 以运营商（移动/电信/联通）需求的电信网/城域网、以银行为主的金融网、以互联网企业需求的数据中心网等。以上这些网络，承载着国民最核心的基础设施和敏感数据，一旦泄露或者遭到非法入侵，影响范围就不仅仅是一个企业/公司/组织的事情，例如政务或军工涉密数据、国民社保身份信息、骨干网络基础设施、金融交易账户信息等。

当然，除了以上这些，还有其他的企业网、教育网等也需要大量的安全产品和服务。网络安全项目一般会由网络安全企业、系统集成商、网络与安全代理商、IT服务提供商等具备国家认定的计算机系统集成资质、安全等保等行业资质的技术单位来提供。

[技能需求]

网络协议：TCP/IP、VLAN/Trunk/MSTP/VRRP/QoS/8021x、OSPF/BGP/MPLS/IPv6、SDN/Vxlan/Openflow…

主流网络与安全设备部署：思科/华为/华三/锐捷/Juniper/飞塔、路由器/交换机、防火墙、IDS/IPS、***、AC/AD…

网络安全架构与设计：企业网/电信网/政务网/教育网/数据中心网设计与部署…

信息安全等保标准、金土/金税工程… ……

[补充说明]

不要被**和新闻等节奏带偏，战斗在这个领域的安全工程师非常非常多，不是天天攻击别人写攻击代码写病毒的才叫做安全工程师；

这个安全领域研究的内容除了defense（防御）和security（安全），相关的Hacking（攻击）技术包括协议安全（arp中间人攻击、dhcp泛洪欺骗、STP欺骗、DNS劫持攻击、>

学习这个安全方向不需要太多计算机编程功底（不是走研发路线而是走安全服务工程师路线），更多需要掌握常见安全网络架构、对网络协议和故障能抓包分析，对网络和安全设备能熟悉配置；

2  Web安全

Web安全领域从狭义的角度来看，就是一门研究[网站安全]的技术，相比[网络安全]领域，普通用户能够更加直观感知。例如，网站不能访问了、网站页面被恶意篡改了、网站被黑客入侵并泄露核心数据（例如新浪微博或淘宝网用户账号泄露，这个时候就会引发恐慌且相继修改密码等）。当然，大的安全项目里面，Web安全仅仅是一个分支，是需要跟[网络安全]是相辅相成的，只不过Web安全关注上层应用和数据，网络安全关注底层网络安全。

随着Web技术的高速发展，从原来的[Web不就是几个静态网页吗？]到了现在的[Web就是互联网]，越来越多的服务与应用直接基于Web应用来展开，而不再仅仅是一个企业网站或论坛。如今，社交、电商、游戏、网银、邮箱、OA…等几乎所有能联网的应用，都可以直接基于Web技术来提供。

由于Web所承载的意义越来越大，围绕Web安全对应的攻击方法与防御技术也层出不穷，例如WAF（网页防火墙）、Web漏洞扫描、网页防篡改、网站入侵防护等更加细分垂直的Web安全产品也出现了。

[技能需求] Web安全的技能点同样多的数不过来，因为要搞Web方向的安全，意味初学者要对Web开发技术有所了解，例如能通过前后端技术做一个Web网站出来，好比要搞[网络安全]，首先要懂如何搭建一个网络出来。那么，Web技术就涉及到以下内容：

通信协议：TCP、>

*** 作系统：Linux、Windows

服务架设：Apache、Nginx、LAMP、LNMP、MVC架构

数据库：MySQL、SQL Server、Oracle

编程语言：前端语言（HTML/CSS/JavaScript）、后端语言（PHP/Java/ASP/Python）

3 终端安全（移动安全/桌面安全）

移动安全主要研究例如手机、平板、智能硬件等移动终端产品的安全，例如iOS和Android安全，我们经常提到的“越狱”其实就是移动安全的范畴。而近期爆发的危机全球的Windows电脑蠕虫病毒 - “WannerCry勒索病毒”，或者更加久远的“熊猫烧香”，便是桌面安全的范畴。

桌面安全和移动安全研究的技术面都是终端安全领域，说的简单一些，一个研究电脑，一个研究手机。随着我们工作和生活，从PC端迁移到了移动端，终端安全也从桌面安全迁移到移动安全。最熟悉不过的终端安全产品，便是360、腾讯、金山毒霸、瑞星、赛门铁克、迈克菲McAfee、诺顿等全家桶……

从商业的角度看，终端安全（移动安全加桌面安全）是一门to C的业务，更多面向最终个人和用户；而网络安全、Web安全、云安全更多是一门to B的业务，面向政企单位。举例：360这家公司就是典型的从to C安全业务延伸到to B安全业务的公司，例如360企业安全便是面向政企单位提供安全产品和服务，而我们熟悉的360安全卫士和杀毒则主要面向个人用户。

4 云安全

[云安全] 是基于云计算技术来开展的另外一个安全领域，云安全研究的话题包括：软件定义安全、超融合安全、虚拟化安全、机器学习+大数据+安全… 目前，基于云计算所展开的安全产品已经非常多了，涵盖原有网络安全、Web安全、移动安全等方向，包括云防火墙、云抗DDOS、云漏扫、云桌面等，国内的腾讯云、阿里云已经有相对成熟的商用解决方案出现。

云安全在产品形态和商用交付上面，实现安全从硬件到软件再到云的变革，大大减低了传统中小型企业使用安全产品的门槛，以前一个安全项目动辄百万级别，而基于云安全，实现了真正的按需d性购买，大大减低采购成本。另外，云时代的安全也给原有行业的规范和实施带来更多挑战和变革，例如，托管在云端的商用服务，云服务商和客户各自承担的安全建设责任和边界如何区分？云端安全项目如何做信息安全等保测评？

网络安全职位分类、招聘需求

① 安全岗位

以安全公司招聘的情况来分，安全岗位可以以研发系、工程系、销售系来区分，不同公司对于安全岗位叫法有所区分，这里以行业常见的叫法归类如下：

研发系：安全研发、安全攻防研究、逆向分析

工程系：安全工程师、安全运维工程师、安全服务工程师、安全技术支持、安全售后、渗透测试工程师、Web安全工程师、应用安全审计、移动安全工程师

销售系：安全销售工程师、安全售前工程师、技术解决方案工程师

1/开发篇240课时（预计一个月）

此阶段主要侧重于培养学员发现问题的能力，并对各大平台各个 *** 作系统有一个整体性认知，迅速建立起较高的计算机素养，并形成对于信息安全核心思想的初步探索及认知，为后续专项课程的学习建立起全局高度，以达到有的放矢的目的。

第01周_前端开发   48课时     HTML & CSS &

第02周_项目周     48课时     JavaScript & 贪食蛇项目

第03周_后端开发   48课时     PHP编程与MySQL数据库

第04周_常用框架   48课时     ThinkPHP框架

第05周_项目周     48课时     完成一个基于ThinkPHP框架的博客

本阶段产出项目：网页版贪食蛇游戏、一个带有房间概念的网页版的聊天室、基于ThinkPHP的博客与分析报告等。

2/安全篇576课时（预计两个半月）

本阶段以 PTES 渗透测试指南为引入点，详细讲解了渗透 测试领域内的高级技术，包括内网渗透以及代码审计技术，并 对内网渗透专门展开了为期一周的实战指导，使得学生们充分 掌握内网权限提升、横向移动等技术。

第06周_ *** 作系统与网络基础     48课时   Kail linux使用与常用网络协议与网络模型基础

第07周_WEB漏洞利用基础     48课时   Web信息收集与CSRF/SSRF/XXE/RCE/点击劫持等漏洞详解

第08周_OWASP TOP10解读   48课时   OWASP Web TOP10漏洞解读

第09周_实战周                48课时   CTF拿flag及CMS网站系统GetShell

第10周_网络运维              48课时   Windows/Linux安全运维详解，网络协议详解与无线安全

第11周_应急响应              48课时   Windows/Linux病毒分析常用技巧，服务器巡检应急响应实战

第12周_等级保护              48课时   常用安全产品介绍，风险评估与等保20制度介绍

第13周_高级渗透测试技术      48课时  PTES渗透测试指南、威胁建模与缓冲区溢出攻击

第14周_代码审计              48课时  CMS代码审计详解，ThinkPHP框架漏洞分析

第15周_内网渗透              48课时   内网渗透技术，内网横向移动秘籍等

第16周_实战周                48课时   内网渗透技术实战

第17周_总复习与考试          48课时   总复习、考试、面试指导

本阶段产出项目：渗透报告、代码审计报告、应急响应报告、内网渗透报告。

3/底层篇192课时（预计一个月）

本阶段带领同学们从学习 Android 开发开始，深入讲解有 关 Android 逆向与分析的基础知识，使得同学们能够以最快的 速度掌握网络安全工作流程中涉及到的 Android 应用分析技巧。

第19周_Java基础           48课时   Java基础与Java常用库的使用

第20周_Android开发基础   48课时   Android SDK基础与界面设计与组件与消息机制

第21周_Android安全       48课时   Smali语法详解、Android逆向、Smali动态调试等

第22周_项目周             48课时    Android安全审计与报告编写

本阶段产出项目：移动端安全审计报告。

　一：学网络安全需要的知识：

1、必须精通TCP/IP协议族。

2、学习和了解各种OS 平台，如：linux,UNIX,BSD 等。

3、随时关注网络安全最新安全动态。

4、熟悉有关网络安全的硬软件配置方法。尤其交换机和路由的配置。

5、多泡网络安全论坛。

6、终身学习。

二：网络安全必修课程：（后面的教材仅为参考）

1、专业基础：

1）C/C++：C++Primer中文版 还有题解c++ primer 需要一定的C++基础，如果要比较基本的话，钱能的那本不错，清华大学出版社的。 <<c programming languge>> 全球最经典的C语言教程 中文名字<<c程序设计语言>>

2）汇编语言 asm

3） *** 作系统linux,UNIX,BSDUBUNTU是linux *** 作系统 鸟哥的linux私房菜

4）计算机网络

2、系统编程：（Windows核心及网络编程）

21、精通VC/C++编程，熟悉windows网络SOCKET编程开发

1）《Windows网络编程（第二版）》（附光盘），（美）Anthony Jones, Jim Ohlund著；杨合庆译；清华大学出版社，20021

2）《Windows 核心编程（第四版）》（附光盘），（美）Jetfrey Richter著，王建华 等译；机械工业出版社，20069

22、逆向工程：

1）《加密与解密（第二版）》（附光盘），段钢 著，电子工业出版社；20045

3、网络协议：

1）《计算机网络实验教程》（《COMPUTER NETWORKS: INTERNET PROTOCOLS IN ACTION》），（美）JEANNA MATTHEWS著，李毅超 曹跃 王钰 等译，人民邮电出版社，20061

2）《TCP/IP协议详解卷一：协议》、《TCP/IP详解卷2：实现》、《TCP/IP详解卷3：TCP 事务协议、>

web黑客渗透测试入门需要学哪些？

学习web渗透，就是从零散到整体。我们入门门槛比较低，学会用工具就可以了。但是从入门到另一个层次就比较难了，也是大部分脚本小子迷茫的地方。

在web渗透的核心那就是思路，大量的思路来源是来自于自己的知识积累和丰富的经验。 学而不思则罔思而不学则殆。

当我找到了一个注入点：

首先放进工具一点，工具提示不存在注入。很奇怪，明明是存在的，发个某大牛，某大你不想说话并向你扔了个链接，你发现居然爆出了帐号密码。

太多的人都是处于这个超级小白阶段，这个阶段处于菜鸟阶段，我称为打哪是哪。

我来问问：

brup suite你会用？你会用来做什么，爆破？你知道怎么抓包分析post注入吗？你知道绕过上传时brup suite的神奇之处吗？

sqlmap 你会用？你会用来做什么，-u？-dbs？你知道怎么在sqlmap中执行sql语句吗？你知道sqlmap怎么反dshell吗？

xss 你都懂？你知道xss平台那么多模块都有什么妙用吗？你知道尖括号过滤都有哪些绕过方式吗？

入门学习思考 可能遇到的问题 和新手需知：

你知道svn源代码泄露是什么？通过审计代码能做到什么吗？

你知道在发现st2漏洞命令执行时出现目录限制的时候怎么突破吗？有多少种方式可以突破，在什么样的场景下容易出现，如果有杀软怎么绕过吗？

你知道在3306允许外链的情况下可以爆破吗？你以为扫描器会把端口的风险都列出来给你吗？

你知道一个缜密的邮箱伪造&社工可能就能导致网站沦陷吗？

你知道遇到weblogic等弱口令的时候如何去部署war拿shell吗？

你知道各种java中间件的端口是哪些吗？各种反序列化漏洞是怎么样快速定位数据库配置文件的吗？

你知道>

以上就是关于网络安全专业主要学习什么呀全部的内容，包括:网络安全专业主要学习什么呀、网络安全工程师一般要学习哪些课程啊、学信息安全需要哪些基础等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！