网络安全03_推荐书籍_网络安全工具_搜集到的网络安全学习的建议_Web安全/渗透测试技能要求_国内外安全企业网站_fortinet书籍

网络安全03

一、推荐书籍

二、网络安全工具

三、搜集到的网络安全学习的建议

1、先网络后安全

很多初学者还没搞定网络看懂网络拓扑，就急着研究防火墙或VPN，其实这样就不清楚整个网络架构是如何安全演进的。正确的流程是：先通过网络协议和拓扑设计的学习，能独立搭建一个企业网/校园网，再引入局域网安全、防火墙、入侵检测、VPN等安全技术，使整个网络慢慢变得安全起来，这样才能看到整个网络安全的全貌。

2、勤做实验勤抓包

目前各大网络和安全厂商都有对应的模拟器，不再需要硬件支持就可以在电脑上完整模拟整个工程项目，大大减低了初学者的学习门槛。通过模拟器的支持，多做实验，熟悉各大厂商的命令集，以此来验证学过的网络和安全原理；而更重要的是，要习惯采用Wireshark等抓

包工具，对底层协议进行观察和分析。举例，要研究IPsec VPN的安全，除了掌握复杂的命令调试，更应该做的就是把VPN隧道建立过程通过抓包进行数据包分析，这样就能看到更底层的实现，记忆也能更加深刻。

3、单点突破横向拓展

在我刚接触网络和安全产品的时候也是非常懵逼的，这么多产品怎么学的完？每个安全厂家都有自己的产品线，而不同产品的部署有些基于CLI（命令）有些则基于GUI（图形）。后面发现只要深入掌握某个厂商的命令和图形界面，不是死记命令而是记住命令背后的调试辑，这样去研究同类安全产品的时候，就会发现"一通百通"，以后真正遇到新的安全产品，只要查阅相关官方手册则可以较快上手。

4、从工程实施到方案设计

从安全工程师到安全架构师，从单纯的工程部署升级到更全局的安全架构，这是每个安全工程师的坎，是升级的必经之路。以安全工程师定位的话，只要熟悉安全设备和部署，做好安全响应，搞定安全设备故障就够了；而安全设计/安全架构师则需要熟悉一些安全标准，例

如国内的信息安全等级保护制度，这里不仅涉及到跨厂商的安全产品选型，也涉及安全拓扑的设计。

5、先网站再安全

Web安全渗透涉及的知识量和工具集如此庞大，要深入Web安全，建议花时间搞定Web网站，例如用自己最熟悉的编程语言，最小单位最快速度做一个Web网站出来，这样能将前后端语言、服务器、数据库等知识串联起来，对Web有源代码级别的理解。在此基础上研究Web安全，就知道哪里是前端安全、哪里是后端安全，哪里是攻击点、哪里是防御点。另外，Web安全问题和攻击手法众多，先掌握OWASP Top10，再继续拓展其他。

6、勤实践多折腾

渗透测试/Web安全的实践思路，没有太多标准路线，甚至很多是"野路子"玩法（俗称"日站"）。而野路子玩法也常常伴随着法律风险，目前还可以通过刷渗透靶机、刷CTF题库、刷漏洞平台（众测平台）来实战。而正式工作的话，则更多是通过积累安全项目来不断提高技能。

四.Web安全/渗透测试技能要求

1、安全理论：HTTP协议、OWASP TOP 10 、PETS、ISO 27001...

2、后端安全：SQL注入、文件上传、Webshell、文件包含、命令执行... 3、前端安全：XSS跨站脚本攻击、CSRF跨站请求伪造... 4、渗透测试：Kali Linux、Metasploit、Nmap、Nessus、Meterpreter......

5、安全产品：Web漏洞扫描（Burp/WVS/Appscan）、WAF（Web应用防火

墙）、IDS/IPS（Web入侵防御）、主机防护...

----更多（加分项）---

6、一门及以上编程语言（Python、Javascript、PHP、C）；

7、Windows/Linux等服务器操作及安全加固；

8、MySQL/Oracle等数据库操作及安全加固；

9、Web框架及Web网站独立开发。

......

五、国内外安全企业网站

国外：

l Fireeye：https://www.fireeye.com/

l Checkpoint：https://www.checkpoint.com/

l fortinet（飞塔）：http://www.fortinet.com.cn/

l Palo Alto：https://www.paloaltonetworks.cn/

l 思科（安全）：http://www.cisco.com/c/zh_cn/products/security/index.html

l Juniper（瞻博网络）：http://www.juniper.net/cn/zh/

l 赛门铁克：https://www.symantec.com/zh/cn

国内：

l 启明星辰：http://www.venustech.com.cn/

l 绿盟科技：http://www.nsfocus.com/

l 天融信：http://www.topsec.com.cn/

l 深信服：http://www.sangfor.com.cn/

l 360企业安全：http://b.360.cn/

l 安恒信息：http://www.dbappsecurity.com.cn/

l 知道创宇：https://www.yunaq.com/

l 蓝盾科技：http://www.bluedon.com/

l 山石网科：http://www.hillstonenet.com.cn/

l 科来：http://www.colasoft.com.cn/

l 华为安全：http://e.huawei.com/cn/products/enterprise-networking/security

国内网络安全新闻/媒体：

l 安全导航：https://navisec.it/

l FreeBuf：http://www.freebuf.com/

l E安全：https://www.easyaq.com/

l Secwiki：https://www.sec-wiki.com/

l 嘶吼：http://www.4hou.com/

l 360安全播报：http://bobao.360.cn/index/index

l 91安全攻防指南：http://www.91ri.org/

知名安全工具官网：

sectool：http://sectools.org/

Kali：https://www.kali.org/

nmap：https://nmap.org/

wireshark：https://www.wireshark.org/

metaspolit：https://www.metasploit.com/

nessus：http://www.tenable.com/

openvas：http://www.openvas.org/

sqlmap：http://sqlmap.org/

Parrot OS：http://www.parrotsec.org/

w3af：http://w3af.org/

burpsuite：https://portswigger.net/burp/

awvs：https://www.acunetix.com/

shodan：https://www.shodan.io/

cobaltstrike：https://www.cobaltstrike.com/

hydra：https://www.thc.org/thc-hydra/

John the Ripper：http://www.openwall.com/john

modsecurity：http://www.modsecurity.org/

zoomeye：https://www.zoomeye.org

国内漏洞/众测/安全响应平台

l SRC导航：http://0xsafe.org/

l 360补天：http://butian.360.cn/

l Seebug：https://www.seebug.org/

l 漏洞盒子：https://www.vulbox.com/

l 云盾先知：https://xianzhi.aliyun.com/

l 腾讯众测：https://security.tencent.com/

网络安全相关面经 （针对应届生/新手）

l 绿盟科技安全服务工程师面经（小乔）：

http://www.pinginglab.net/article/42

l 360安全服务工程师面经（汤同学）：

http://www.pinginglab.net/article/36

l 360安全服务工程师面经（刘同学）：

http://www.pinginglab.net/article/24

l 中国移动信息安全工程师面经（小鸣）：

http://www.pinginglab.net/article/23

网络安全公开课汇总

• TCP/IP协议栈：http://www.pinginglab.net/course/164

• IP地址与子网划分：http://www.pinginglab.net/course/167

• GNS3模拟器：http://www.pinginglab.net/course/4

• Wireshark协议分析：http://www.pinginglab.net/course/3

• 大中型企业网实战：http://www.pinginglab.net/course/9

• SDN软件定义网络：http://www.pinginglab.net/course/7

• Panabit流控管理：http://www.pinginglab.net/course/6

• WiFi攻防那些事：http://www.pinginglab.net/course/10

• Kali Linux渗透测试：http://www.pinginglab.net/course/11/tasks

• Web安全入门导论：http://www.pinginglab.net/course/70

• Web实验室搭建：http://www.pinginglab.net/course/86

六、总结

1.最佳学习姿势就是根据知名安全企业的招聘信息反推出学习路径，然后根据书籍、实验/工具、视频等方式进行针对性学习。

2.网络安全和Web安全/渗透测试的学习路径有所差异，例如网络安全是"先网络后安全"，而Web安全是"先网站后安全"。当然，个人职业发展若是成为一个"全栈安全工程师"，不要被行业分类给限制了，有兴趣就着手研究。

3.除了学习技术，平常也可以多上安全企业官网、安全媒体网站了解最新产品和安全资讯，提高安全视野，培养"安全感"。

PS

为什么校园网上网需要客户端/网页认证？

学号/电话号码上网：有记录，犯罪有实锤------局域网接入认证

本文转自 https://blog.csdn.net/qq_51550750/article/details/121684940?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522540f88dc2d424a57efad58ece323a80f%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=540f88dc2d424a57efad58ece323a80f&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-12-121684940-null-null.142^v100^pc_search_result_base4&utm_term=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%B7%A5%E5%85%B7&spm=1018.2226.3001.4187，如有侵权，请联系删除。