学网络安全，千万别棋差这一招

网络安全到底怎么学？

其实入门这东西并不一定代表要学的特别透彻，你看，搞弱电的总想着多学点网络，学网络的总想着多看点开发，搞开发的又觉得安全不错……这就是个轮回啊。

这个行业要是深入学习，真的可以学上个几百年，没有容易学的东西，沉下心+坚持才是拿下一切的根本之道。

很多想了解网络安全的打工人，大多数都没学过安全技术和产品，编程可能从未接触过，也不必谈经手过几个项目了。

学习网络安全，第一步并不是要把安全学的多深入，而是要把基础稳固，学习之后的内容才能有效率。

“还是先打好基础吧，老弟！”

今天，我就和你分享一篇关于网络安全的基础知识，希望能帮助到你。

01 防火墙（Firewall）

定义： 都知道防火墙是干什么用的，但我觉得需要特别提醒一下，防火墙抵御的是外部的攻击，并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大作用。

功能 :防火墙的功能主要是两个网络之间做边界防护， 企业中更多使用的是企业内网与互联网的 NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用， 主要功能是包过滤规则的使用。

部署方式 : 网关模式、透明模式

网关模式是现在用的最多的模式， 可以替代路由器并提供更多的功能，适用于各种类型企业透明部署是在不改变现有网络结构的情况下，将防火墙以透明网桥的模式串联到企业的网络中间， 通过包过滤规则进行访问控制，做安全域的划分。

至于什么时候使用网关模式或者使用透明模式， 需要根据自身需要决定， 没有绝对的部署方式。需不需要将服务器部署在 DMZ区，取决于服务器的数量、 重要性，总之怎么部署都是用户自己的选择。

高可用性 : 为了保证网络可靠性，现在设备都支持主-主、主- 备等各种部署。

02 防毒墙

定义 : 相对于防火墙来说，一般都具有防火墙的功能， 防御的对象更具有针对性，那就是病毒。

功能 : 同防火墙， 并增加病毒特征库， 对数据进行与病毒特征库进行比对，进行查杀病毒。

部署方式 : 同防火墙，大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前，进行病毒防范与查杀

03 入侵防御 (IPS)

定义 : 相对于防火墙来说，一般都具有防火墙的功能，防御的对象更具有针对性， 那就是攻击。防火墙是通过对五元组进行控制，达到包过滤的效果， 而入侵防御 IPS，则是将数据包进行检测 （深度包检测 DPI）对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

功能 : 同防火墙，并增加 IPS 特征库，对攻击行为进行防御。

部署方式 : 同防毒墙。

特别说明一下 : 防火墙允许符合规则的数据包进行传输，对数据包中是否有病毒代码或攻击代码并不进行检查， 而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

04 统一威胁安全网关 (UTM)

定义 : 简单的理解， 把威胁都统一了，其实就是把上面三个设备整合到一起了。

功能 : 同时具备防火墙、 防毒墙、入侵防护三个设备的功能。

部署方式 : 因为可以代替防火墙功能， 所以部署方式同防火墙。

现在大多数厂商，防病毒和入侵防护已经作为防火墙的模块来用，在不考虑硬件性能以及费用的情况下， 开启了防病毒模块和入侵防护模块的防火墙，和UTM其实是一样的。

至于为什么网络中同时会出现 UTM和防火墙、防病毒、入侵检测同时出现。

第一，实际需要，在服务器区前部署防毒墙， 防护外网病毒的同时， 也可以检测和防护内网用户对服务器的攻击。

第二，花钱，大家都懂的。总之还是那句话，设备部署还是看用户。

05 IPSEC VPN

把 IPSEC VPN放到网络安全防护里，其实是因为大多数情况下， IPSEC VPN的使用都是通过上述设备来做的，而且通过加密隧道访问网络，本身也是对网络的一种安全防护。

定义 : 采用 IPSec 协议来实现远程接入的一种 VPN技术。

功能 : 通过使用 IPSEC VPN使客户端或一个网络与另外一个网络连接起来，多数用在分支机构与总部连接。

部署方式 : 网关模式、旁路模式

鉴于网关类设备基本都具备 IPSEC VPN功能，所以很多情况下都是直接在网关设备上启用 IPSEC VPN功能，也有个别情况新购买IPSEC VPN设备，在对现有网络没有影响的情况下进行旁路部署，部署后需要对 IPSEC VPN设备放通安全规则，做端口映射等等。

也可以使用 windows server 部署 VPN。相比硬件设备，自己部署没有什么花费，但 IPSEC VPN受操作系统影响，相比硬件设备稳定性会差一些。

以上设备常见厂家：

Juniper Check Point Fortinet （飞塔）思科 天融信 山石网科 启明星辰 深信服 绿盟 网御星云 网御神州 华赛 梭子鱼 迪普 H3C

06 网闸

定义 : 全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接， 并能够在网络间进行安全适度的应用数据交换的网络安全设备。

功能 : 主要是在两个网络之间做隔离并需要数据交换，网闸是具有中国特色的产品。

部署方式 : 两套网络之间

防火一般在两套网络之间做逻辑隔离， 而网闸符合相关要求，可以做物理隔离，阻断网络中 tcp 等协议，使用私有协议进行数据交换，一般企业用的比较少， 在对网络要求稍微高一些的单位会用到网闸 .

07 SSL VPN

定义 : 采用 SSL协议的一种 VPN技术，相比 IPSEC VPN使用起来要更加方便，毕竟 SSL VPN使用浏览器即可使用。

功能 : 随着移动办公的快速发展，SSL VPN的使用也越来越多，除了移动办公使用，通过浏览器登录SSL VPN连接到其他网络也十分方便， IPSEC VPN更倾向网络接入，而 SSL VPN更倾向对应用发布

部署 : SSL VPN的部署一般采用旁路部署方式，在不改变用户网络的状况下实现移动办公等功能。

08 WAF (Web Application Firewall) web 应用防护系统

定义 : 名称就可以看出， WAF的防护方面是 web应用，说白了防护的对象是网站及 B/S 结构的各类系统。

功能 : 针对 HTTP/HTTPS协议进行分析，对 SQL注入攻击、XSS攻击 Web攻击进行防护，并具备基于 URL 的访问控制；HTTP协议合规；Web敏感信息防护；文件上传下载控制；Web 表单关键字过滤。网页挂马防护， Webshell 防护以及 web应用交付等功能。

部署 : 通常部署在 web应用服务器前进行防护

IPS 也能检测出部分web攻击，但没有WAF针对性强，所以根据防护对象不同选用不同设备，效果更好 。

09 网络安全审计

定义 : 审计网络方面的相关内容

功能 : 针对互联网行为提供有效的行为审计、 内容审计、 行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

部署 : 采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

10 数据库安全审计

定义 : 数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

功能 : 审计对数据库的各类操作，精确到每一条 SQL命令，并有强大的报表功能。

部署 : 采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

11 日志审计

定义 : 集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能， 实现对信息系统日志的全面审计。

功能 : 通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全部署 : 旁路模式部署。通常由设备发送日志到审计设备， 或在服务器中安装代理，由代理发送日志到审计设备。

12 运维安全审计 ( 堡垒机 )

定义 : 在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露， 而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

功能 : 主要是针对运维人员维护过程的全面跟踪、 控制、记录、回放，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

部署 : 旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备 / 服务器 / 数据库等系统操作。

可以看出审计产品最终的目的都是审计，只不过是审计的内容不同而已， 根据不同需求选择不同的审计产品， 一旦出现攻击、非法操作、违规操作、误操作等行为，对事后处理提供有利证据。

13 入侵检测（ IDS）

定义 : 对入侵攻击行为进行检测

功能 : 通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象

部署 : 采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到入侵检测设备。

入侵检测虽然是入侵攻击行为检测， 但监控的同时也对攻击和异常数据进行了审计，所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必配设备。

14 上网行为管理

定义 : 顾名思义，就是对上网行为进行管理

功能 : 对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等

部署 : 网关部署、透明部署、旁路部署

网关部署 : 中小型企业网络较为简单，可使用上网行为管理作为网关， 代替路由器或防火墙并同时具备上网行为管理功能

透明部署 : 大多数情况下，企业会选择透明部署模式，将设备部署在网关与核心交换之间，对上网数据进行管理

旁路部署 : 仅需要上网行为管理审计功能时，也可选择旁路部署模式， 在核心交换机上配置镜像口将数据发送给上网行为管理

个人觉得上网行为管理应该属于网络优化类产品， 流控功能是最重要的功能，随着技术的发展，微信认证、防便携式 wifi 等功能不断完善使之成为了网工的最爱。

15 负载均衡

定义 : 将网络或应用多个工作分摊进行并同时完成， 一般分为链路负载和应用负载 ( 服务器负载 )

功能 : 确保用户的业务应用能够快速、 安全、可靠地交付给内部员工和外部服务群 , 扩展网络设备和服务器的带宽、 增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性

部署 : 旁路模式、网关模式、代理模式

旁路模式 : 通常使用负载均衡进行应用负载时，旁路部署在相关应用服务器交换机上，进行应用负载

网关模式 : 通常使用链路负载时，使用网关模式部署

随着各种业务的增加，负载均衡的使用也变得广泛， web应用负载，数据库负载都是比较常见的服务器负载。鉴于国内运营商比较恶心，互联互通问题较为严重，使用链路负载的用户也比越来越多。

16 漏洞扫描

定义 : 漏洞扫描是指基于漏洞数据库， 通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测， 发现可利用的漏洞的一种安全检测（渗透攻击）行为。

功能 : 根据自身漏洞库对目标进行脆弱性检测， 并生产相关报告，提供漏洞修复意见等。一般企业使用漏洞扫描较少，主要是大型网络及等、分保检测机构使用较多。

部署 : 旁路部署， 通常旁路部署在核心交换机上， 与检测目标网络可达即可。

17 异常流量清洗

对异常流量的牵引、 DDoS流量清洗、 P2P带宽控制、流量回注，也是现有针对 DDOS攻击防护的主要设备。

部署 : 旁路部署

18 VPN

定义： VPN （ Virtual Private Network ）虚拟专用网络 ,简单的讲就是因为一些特定的需求， 在网络与网络之间， 或终端与网络之间建立虚拟的专用网络，通过加密隧道进行数据传输 ( 当然也有不加密的 ) ，因其部署方便且具有一定的安全保障，被广泛运用到各个网络环境中。

分类： 常见的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

部署： 主要采用网关模式和旁路模式部署两种。

使用专业VPN硬件设备建立VPN时多为旁路部署模式， 对现有网络不需要改动， 即使 VPN设备出现问题也不会影响现有网络。使用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件部署模式部署。

实现方式：

1. 通过使用专业 VPN软件来建立 VPN

优点 : 投入较少，部署比较灵活

缺点 : 稳定性受服务器硬件、操作系统等因素影响

2. 通过使用服务器自行架设 VPN服务器建立 VPN，windows 服务器为主

优点 : 投入较少，部署比较灵活， windows 系统自带

缺点 : 稳定性受服务器硬件、操作系统等因素影响，需自行配置

3. 通过使用防火墙 / 路由器设备自带 VPN功能建立 VPN

优点 : 投入较少，稳定性好

缺点 : 因使用现有设备自带 VPN模块，对 VPN访问量较大的需求不建议使用，以免出现设备性能不足影响防火墙 / 路由器使用。作为现有设备的自带模块，无法满足用户特殊要求。部署方式相对固定

4. 通过使用专业的 VPN硬件设备建立 VPN

优点 : 产品成熟适用于各种 VPN场景应用，功能强大，性能稳定。

缺点 : 比较花钱，硬件设备需要花钱， 用户授权需要花钱， 反正啥都需要花钱

19 MPLS

VPN 运营商使用较多，使用场景多为总部与分支机构之间。

其他 VPN因部署方便，成本较低成为现在使用最为广泛的 VPN。

L2TP VPN与 PPTP VPN因使用的隧道协议都属于二层协议，所以也称为二层 VPN。IPSEC VPN则采用 IPSec 协议，属于三层 VPN。

SSL VPN是以 HTTPS协议为基础 VPN技术，使用维护简单安全，成为 VPN技术中的佼佼者

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

【点击这里，先领资料再阅读哦~】

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全学习路线&学习资源

扫描下方卡片可获取最新的网络安全资料合集（包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等）助力大家提升进阶！

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！