GKLBB

当你经历了暴风雨,你也就成为了暴风雨

导航

网络安全学习路线图

 

网络安全学习路线图

基础IT技能

  • 计算机硬件组件:如CPU、内存、主板等及其工作原理。
  • 独立于操作系统的故障排除:如使用 ping 8.8.8.8 测试网络连通性(所有系统支持)。
  • 连接类型及其功能

  • NFC (近场通信)

    • 工作原理:利用电磁感应在非常近的距离内传输数据
    • 传输距离:极短,通常10厘米以内
    • 传输速率:最高424 Kbps
    • 特点
      • 需要设备几乎紧贴才能工作
      • 非常低的功耗
      • 不需要配对过程
      • 安全性相对较高(由于距离限制)
    • 主要用途:移动支付、门禁卡、交通卡、快速配对其他设备

    WiFi (无线网络)

    • 工作原理:使用2.4GHz或5GHz无线电波传输数据
    • 传输距离:较远,室内可达50米,室外可达100米以上
    • 传输速率:高,现代标准可达数Gbps
    • 特点
      • 需要接入点(路由器)进行连接
      • 功耗相对较高
      • 需要身份验证和加密设置
      • 可同时连接多个设备
    • 主要用途:网络接入、高速数据传输、视频流媒体、在线游戏

    蓝牙 (Bluetooth)

    • 工作原理:使用2.4GHz频段的无线电技术
    • 传输距离:中等,普通蓝牙约10米,低功耗蓝牙可达100米
    • 传输速率:中等,蓝牙5.0可达2Mbps
    • 特点
      • 点对点或点对多点连接
      • 中等功耗(低功耗蓝牙除外)
      • 需要配对过程
      • 较强的抗干扰能力
    • 主要用途:无线耳机、扬声器、键盘鼠标、智能手表、医疗设备

    红外线 (Infrared)

    • 工作原理:通过发射和接收红外光线传输数据
    • 传输距离:短,通常5米以内,且需要直线视野
    • 传输速率:低,传统IrDA标准最高16Mbps
    • 特点
      • 需要发射器和接收器直接对准
      • 不能穿透障碍物
      • 较低功耗
      • 受环境光线影响较大
    • 主要用途:遥控器、某些老式设备的数据传输(现已逐渐被其他技术取代)
  • 流行套件基础知识
    • iCloud:苹果公司的云服务
    • Google Suite:谷歌的办公和协作工具集
    • Microsoft Office Suite:微软的办公软件套件

操作系统

Windows 、Linux和MacOS(每个都需学习以下内容)

  • 操作系统基础操作对比

    安装和配置

    • Windows:双击安装程序,按照安装向导提示操作(如Windows 11安装程序)
    • Linux:使用引导盘启动,选择分区并设置用户(如Ubuntu安装向导)
    • macOS:从App Store下载,双击pkg包,拖动应用到Applications文件夹

    不同版本及差异

    • Windows:家庭版无企业管理功能,专业版有BitLocker,企业版有高级安全功能
    • Linux:Ubuntu更新快适合桌面,RHEL/CentOS更稳定适合服务器,Kali预装安全工具
    • macOS:Monterey引入Universal Control,Ventura增强Spotlight功能,版本间兼容性好

    理解权限

    • Windows:右键文件→属性→安全→编辑→勾选相应权限(读取、写入、执行等)
    • Linux:使用chmod 755 file.txt设置(所有者可读写执行,组和其他人只读执行)
    • macOS:使用chmod命令或文件→显示简介→共享与权限→点击锁解锁→设置权限

    安装软件和应用程序

    • Windows:双击.exe文件,或使用Microsoft Store,或命令行winget install chrome
    • Linux:sudo apt install firefox(Debian系),sudo dnf install firefox(RHEL系)
    • macOS:从App Store安装,或拖拽.app到应用程序文件夹,或brew install vlc

    执行文件CRUD操作

    • Windows:创建(右键→新建),读取(双击),更新(编辑后保存),删除(选中→Delete键)
    • Linux:创建(touch file.txt),读取(cat file.txt),更新(nano file.txt),删除(rm file.txt)
    • macOS:创建(touch file.txt),读取(open file.txt),更新(编辑后⌘S),删除(⌘Delete)

    使用GUI和CLI导航

    • Windows:GUI(文件资源管理器),CLI(cd C:\Users\,dir查看文件)
    • Linux:GUI(Nautilus文件管理器),CLI(cd ~/Documents/,ls -la查看文件)
    • macOS:GUI(Finder),CLI(cd ~/Desktop/,ls查看文件)

    故障排除

    • Windows:任务管理器检查资源(Ctrl+Alt+Del),事件查看器分析日志(eventvwr.msc)
    • Linux:top命令查看进程,journalctl -xe查看系统日志,dmesg查看内核消息
    • macOS:活动监视器查看进程,Console.app查看系统日志,系统报告查看硬件信息

    常用命令

    • Windows:ipconfig(查看网络),tasklist(查看进程),netstat -an(查看网络连接)
    • Linux:ifconfig/ip a(查看网络),ps aux(查看进程),grep(搜索文本)
    • macOS:networksetup(网络设置),killall(终止进程),diskutil(磁盘管理)

网络知识

  • OSI模型七层详解

    第1层:物理层 (Physical Layer)

    负责在设备间传输原始比特流,定义了电气、机械和功能特性。这一层处理物理连接的建立、维护和断开,如网线、光纤、无线电波等物理媒介上的信号传输。

    第2层:数据链路层 (Data Link Layer)

    将原始比特流组织成帧,提供点对点的直接通信。负责物理寻址(MAC地址)、错误检测与纠正,以及流量控制。最常见的技术是以太网和Wi-Fi,设备如交换机工作在此层。

    第3层:网络层 (Network Layer)

    负责数据包从源到目的地的路由选择和逻辑寻址(IP地址)。确定数据传输的最佳路径,实现不同网络间的互联。IP协议和路由器工作在此层。

    第4层:传输层 (Transport Layer)

    提供端到端的可靠数据传输服务,负责数据分段、传输和重组。管理数据流控制和错误恢复,确保数据的完整性和顺序。TCP(可靠传输)和UDP(快速传输)是主要协议。

    第5层:会话层 (Session Layer)

    建立、管理和终止应用程序之间的通信会话。处理会话同步、对话控制和会话恢复。如NetBIOS和RPC提供会话管理功能,维护通信双方的逻辑连接。

    第6层:表示层 (Presentation Layer)

    处理数据格式转换、加密解密和数据压缩。确保从应用层接收的信息可被接收方正确理解。负责字符编码、数据结构表示和格式转换,如JPEG、ASCII、EBCDIC编码转换。

    第7层:应用层 (Application Layer)

    直接与用户应用程序交互的最高层,提供网络服务接口。包括文件传输、电子邮件和远程登录等服务。常见协议有HTTP(网页)、SMTP(邮件)、FTP(文件传输)和DNS(域名解析)。

  • 常用端口及其用途

    • 20/21:FTP传输/控制端口,用于文件传输服务。
    • 22:SSH端口,用于加密远程登录和文件传输。
    • 23:Telnet端口,用于未加密的远程登录(不安全)。
    • 25:SMTP端口,用于发送电子邮件。
    • 53:DNS端口,用于域名解析服务。
    • 80:HTTP端口,用于网页浏览。
    • 443:HTTPS端口,用于加密网页浏览。
    • 3389:RDP端口,用于Windows远程桌面连接。

    常用协议及其用途

    • TCP:面向连接的传输协议,确保数据可靠完整传输。
    • UDP:无连接传输协议,快速但不保证传输可靠性。
    • ICMP:网络诊断协议,用于ping测试和错误报告。
    • DHCP:自动分配IP地址的网络配置协议。
    • DNS:将域名转换为IP地址的查询协议。
    • HTTP:网页内容传输协议,构成万维网基础。
    • HTTPS:加密的HTTP协议,保护网络通信安全。
    • SMTP/POP3/IMAP:电子邮件发送和接收的协议。
    • FTP:文件传输协议,用于上传下载文件。
    • SSH:安全外壳协议,提供加密的远程登录和通信。
    • TLS/SSL:数据加密和身份验证的安全协议层。

  • 网络术语详解

    VLAN (虚拟局域网)

    虚拟局域网是在物理网络设备上创建的逻辑分区,允许管理员将网络分割成多个独立广播域,即使设备连接在同一物理交换机上。这提高了安全性和性能,因为可以将不同部门或功能区域的设备逻辑分组,限制广播流量范围,并简化网络管理。

    DMZ (隔离区)

    隔离区是位于组织内部网络和外部网络(如互联网)之间的缓冲区或安全区域。它通常用于放置需要从互联网访问但同时又需要一定保护的服务器(如Web服务器、邮件服务器)。DMZ通过防火墙规则限制流量,既允许外部用户访问特定服务,又防止外部威胁直接接触内部网络资源。

    ARP (地址解析协议)

    地址解析协议用于将网络层的IP地址解析为数据链路层的MAC地址。当设备需要与同一网络上的另一设备通信时,它会发送ARP请求广播询问"谁拥有这个IP地址?",拥有该IP的设备会回复自己的MAC地址。这个过程对网络通信至关重要,因为数据包在物理传输时需要使用MAC地址。

    VM (虚拟机)

    虚拟机是通过软件模拟的计算机系统,它可以运行操作系统和应用程序,就像在物理硬件上运行一样。VM使用虚拟化技术在单一物理服务器上运行多个独立系统,实现资源高效利用、环境隔离和系统灵活性。在网络环境中,VM常用于服务器整合、测试环境和云计算平台。

    NAT (网络地址转换)

    网络地址转换允许多台设备共享单一公共IP地址,通过修改网络数据包中的IP地址信息实现。当内部网络设备发送请求到互联网时,NAT设备(如路由器)记录原始请求信息,替换源IP为公共IP,接收响应后再转发回原始设备。NAT解决了IPv4地址短缺问题,同时提供了一定的安全性,因为外部网络无法直接看到内部地址。

    IP (互联网协议)

    互联网协议是网络通信的基础,负责在互联网上寻址和路由数据包。IP地址是分配给联网设备的唯一标识符,有IPv4(如192.168.1.1)和IPv6(如2001:0db8:85a3:0000:0000:8a2e:0370:7334)两个版本。IP协议确保数据包能在复杂网络中找到正确路径到达目的地,是TCP/IP协议套件的核心组件。

    DNS (域名系统)

    域名系统将人类可读的域名(如www.example.com)转换为机器使用的IP地址。它是一个分布式数据库,通过层次结构的域名服务器网络运行。当用户访问网站时,DNS解析器首先查询缓存,然后按需向根服务器、顶级域服务器和权威服务器发送查询,直到找到匹配的IP地址。DNS使互联网导航变得用户友好,无需记忆复杂的IP地址。

    DHCP (动态主机配置协议)

    动态主机配置协议自动分配IP地址和其他网络配置参数(如子网掩码、默认网关和DNS服务器)给网络设备。当设备连接到网络时,它发送DHCP发现请求,DHCP服务器响应并提供可用IP地址及配置信息。这简化了网络管理,避免了手动配置每台设备的麻烦,并防止IP地址冲突。

    Router (路由器)

    路由器是连接两个或多个网络的设备,负责数据包在不同网络间的转发和路由选择。它根据目的地IP地址和内部路由表决定如何将数据包从源网络转发到目标网络。家用路由器通常连接家庭局域网和互联网服务提供商网络,而企业级路由器则处理更复杂的网络拓扑和更大流量。

    Switch (交换机)

    交换机是局域网内部的中心连接设备,通过MAC地址表将数据帧精确转发到目标设备。与集线器不同,交换机不简单广播所有数据,而是学习连接设备的MAC地址,并只将数据发送给特定目标端口,提高网络效率和安全性。现代交换机常支持VLAN、链路聚合和服务质量控制等高级功能。

    VPN (虚拟专用网络)

    虚拟专用网络通过公共网络(如互联网)创建安全的私密连接。VPN使用加密隧道协议(如IPsec、SSL/TLS、WireGuard)保护数据传输,并可提供用户认证和访问控制。常见用途包括远程工作者安全访问公司网络资源、绕过地理限制和提高公共WiFi安全性。VPN分为远程访问型(连接单个用户)和站点到站点型(连接整个网络)。

  • SSL和TLS基础知识

    概念与发展

    • SSL (安全套接层):最早由Netscape开发的安全协议,用于保护网络通信
    • TLS (传输层安全):SSL的继任者,是当前互联网安全通信的标准
    • 演进关系:SSL 2.0 → SSL 3.0 → TLS 1.0 → TLS 1.1 → TLS 1.2 → TLS 1.3 (最新版本)
    • 注意:虽然人们仍习惯说"SSL证书",但现代系统实际使用的是TLS协议

    基本功能

    1. 加密:对通信内容进行加密,防止数据被窃听
    2. 身份验证:验证通信对方的身份,防止身份伪造
    3. 完整性:确保数据在传输过程中未被篡改

    工作原理

    1. 握手阶段
      • 客户端与服务器协商使用的TLS版本和加密算法
      • 服务器提供证书,客户端验证证书有效性
      • 生成会话密钥,用于后续通信加密
    2. 数据传输阶段
      • 使用握手阶段生成的会话密钥加密所有通信内容
      • 每条消息包含MAC(消息认证码),确保数据完整性

    加密技术

    • 对称加密:使用相同的密钥加密和解密(如AES),速度快
    • 非对称加密:使用公钥和私钥(如RSA),用于安全交换对称密钥
    • 混合加密系统:握手用非对称加密,数据传输用对称加密,结合两者优势

    证书体系

    • X.509证书:包含网站信息、公钥和CA签名
    • 证书颁发机构(CA):验证申请者身份并签发证书的可信第三方
    • 证书链:从终端实体证书到根证书的信任链

    常见应用

    • HTTPS:HTTP over TLS,安全的网页浏览
    • FTPS/SMTPS/POP3S:安全的文件传输和电子邮件
    • VPN:某些VPN解决方案中使用TLS

    安全考量

    • 强加密套件:使用强加密算法和足够长的密钥
    • 前向保密:即使私钥泄露,过去的通信仍然安全
    • 证书验证:包括域名、有效期和发行机构验证

    TLS是现代互联网安全通信的基石,虽然协议复杂,但为用户提供了透明的安全保障。

  • 公共IP vs 私有IP地址详解

    基本定义

    公共IP地址(Public IP)

    • 在全球互联网上唯一标识设备的地址
    • 由互联网分配号码机构(IANA)和各地区互联网注册管理机构分配
    • 可在整个互联网上直接路由
    • 通常由ISP(互联网服务提供商)提供给用户

    私有IP地址(Private IP)

    • 仅在本地网络内使用的地址
    • 在不同的本地网络中可重复使用
    • 无法直接从互联网访问
    • 由网络管理员分配或通过DHCP自动分配

    地址范围

    私有IP地址范围(RFC 1918指定):

    • Class A: 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
    • Class B: 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
    • Class C: 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)

    特殊地址范围:

    • 回环地址: 127.0.0.0 - 127.255.255.255 (主要使用127.0.0.1)
    • 链路本地地址: 169.254.0.0 - 169.254.255.255 (当DHCP失败时自动分配)

    公共IP地址:

    • 除了私有地址范围和其他特殊用途范围外的所有IPv4地址
    • IPv6地址中,除了特殊用途地址外的所有地址

  • IP术语解释

    图中展示了IP术语部分,包含五个关键的网络概念:

    localhost (本地主机)

    本地主机是指计算机自身的引用地址,最常用的IP地址是127.0.0.1。当程序向localhost发送数据时,数据不会离开计算机,而是在计算机内部处理,常用于测试网络应用和服务而不需要实际的网络连接。

    loopback (回环)

    回环地址范围是127.0.0.0/8网段(127.0.0.0到127.255.255.255),这是计算机用来测试网络功能的内部地址范围。当向这些地址发送数据时,数据在TCP/IP协议栈内部循环返回,不会被发送到网络上,用于验证网络协议栈的正确配置。

    CIDR (无类域间路由)

    CIDR是一种IP地址分配和路由方法,使用斜杠表示法(如192.168.1.0/24)来表示IP地址及其网络前缀长度。这种方法比传统的分类网络更灵活,允许更高效地分配IP地址,防止IPv4地址耗尽,同时减少互联网路由表的规模。

    subnet mask (子网掩码)

    子网掩码用于区分IP地址中的网络部分和主机部分,如255.255.255.0(二进制为24个1后跟8个0)。它与IP地址按位"与"运算确定所属网络。子网掩码让管理员可以将大型网络分割成更小的子网,提高效率并控制广播域。

    default gateway (默认网关)

    默认网关是计算机用来发送不属于本地网络流量的出口点,通常是连接本地网络和其他网络(如互联网)的路由器IP地址。当主机需要与非本地网络通信时,数据包会先发送到默认网关,再由网关转发到目标网络。

  • 理解这些

    MAN (城域网 Metropolitan Area Network)

    城域网是覆盖整个城市或大型校区的网络,规模介于局域网和广域网之间。它通常连接分布在不同地点的多个局域网,如政府部门、大学校区或企业分支机构之间的网络连接。MAN通常使用光纤或微波技术,传输距离可达几十公里,由电信运营商或地方政府运营管理。

    LAN (局域网 Local Area Network)

    局域网是覆盖有限地理区域的计算机网络,如办公室、学校或家庭。设备通常通过交换机连接,使用以太网技术,数据传输速度快(通常为100Mbps至10Gbps),延迟低。局域网内设备可以共享资源如打印机、文件和互联网连接,且通常由单一组织拥有和管理。

    WAN (广域网 Wide Area Network)

    广域网是覆盖广泛地理区域(如国家或洲际)的网络,连接分散在不同地点的多个局域网。互联网是最大的WAN例子。广域网通常使用租用线路、卫星链路或公共电信基础设施,数据传输速度相对较慢,延迟较高。WAN通常由ISP(互联网服务提供商)或大型组织管理。

    WLAN (无线局域网 Wireless Local Area Network)

    无线局域网是使用无线通信而非有线连接的局域网。设备通过Wi-Fi技术连接到接入点,实现灵活的网络连接,使用无线电波传输数据。WLAN常见于家庭、办公室、咖啡馆等场所,允许设备在有限区域内自由移动,同时保持网络连接。现代WLAN基于IEEE 802.11标准(如802.11n/ac/ax),提供从数十Mbps到数Gbps的数据传输速率。

  • 网络服务功能解释

    DHCP (动态主机配置协议)

    DHCP自动为网络设备分配IP地址和网络配置参数,无需手动设置。当设备连接网络时,DHCP服务器会提供IP地址、子网掩码、默认网关和DNS服务器地址等信息。这大大简化了网络管理,避免了IP地址冲突,特别适用于有大量设备加入和离开的网络环境。

    DNS (域名系统)

    DNS将人类易记的域名(如www.example.com)转换为计算机使用的IP地址(如192.0.2.1)。它是一个分布式数据库系统,通过层次化的域名服务器网络运行。没有DNS,用户就需要记住复杂的IP地址序列来访问网站和服务。DNS也提供邮件路由信息和其他网络服务查找功能。

    NTP (网络时间协议)

    NTP用于在网络设备之间同步时间。准确的时间同步对许多网络功能至关重要,包括日志记录、安全认证、计划任务和分布式系统操作。NTP使用分层的时间服务器架构,最高层(Stratum 0)通常是原子钟或GPS接收器,确保网络中所有设备保持毫秒级的时间准确性。

    IPAM (IP地址管理)

    IPAM是管理和监控组织IP地址空间的系统和方法。它提供集中式管理工具来跟踪IP地址的分配、使用和可用性。高级IPAM解决方案通常集成DHCP和DNS管理,提供自动化功能、报告和审计能力,帮助管理员高效管理地址资源,防止地址冲突和浪费。

  • 故障排除工具

    • 基础查询工具

      • nslookup: 用于查询DNS记录,获取域名对应的IP地址或反向查询IP对应的域名,帮助解决域名解析问题。
      • ipconfig: 显示当前系统的网络配置信息,包括IP地址、子网掩码、默认网关和DNS服务器等,是Windows系统的基本网络配置查看工具。
      • ping: 通过发送ICMP回显请求测试网络连通性和延迟,是最基本的网络连接测试工具。

      网络监测工具

      • iptables: Linux系统中的防火墙工具,用于配置网络数据包过滤规则,控制进出系统的网络流量。
      • netstat: 显示网络连接、路由表和网络接口状态等信息,帮助识别异常连接和监控系统网络活动。
      • Packet Sniffers (数据包嗅探器): 如Wireshark,用于捕获和分析网络数据包,深入理解网络通信过程,查找通信问题。

      安全测试工具

      • Port Scanners (端口扫描器): 如Nmap的端口扫描功能,检测目标系统开放的端口,评估网络安全并识别潜在漏洞。
      • nmap: 强大的网络探测和安全审计工具,可进行主机发现、端口扫描、服务检测和操作系统识别等。

      路由与连接工具

      • dig: 比nslookup更详细的DNS查询工具,提供完整的DNS查询信息,常用于DNS故障排除。
      • route: 查看和修改系统路由表,帮助理解网络数据包如何被路由。
      • tracert/traceroute: 追踪数据包从源到目的地的路径,显示经过的每个路由器,帮助定位网络瓶颈。

      数据包分析工具

      • arp: 显示和管理系统的ARP缓存表,解决ARP相关问题如IP地址冲突。
      • tcpdump: 命令行数据包分析工具,捕获和显示网络数据包,适合在无图形界面的系统上使用。
      • Protocol Analyzers (协议分析器): 专门分析特定协议的工具,帮助深入排查协议级别的问题。

  • 子网划分基础

    子网划分是网络管理中的核心概念,它允许将大型IP网络分割成多个较小的、更易管理的网络段。这种技术对于优化网络性能、增强安全性和简化管理至关重要。

    基本概念

    子网是将一个IP网络分割成多个逻辑上独立的网段。每个子网都有自己的网络ID和可用的主机地址范围。

    子网掩码决定了IP地址中哪些位表示网络部分,哪些位表示主机部分。它是一个32位二进制数(对于IPv4),通常以点分十进制表示(如255.255.255.0)。

    子网划分步骤

    1. 确定需要的子网数量:基于地理位置、部门、安全需求等因素
    2. 确定每个子网需要的主机数量:包括计算机、服务器、打印机等设备
    3. 计算所需的子网掩码位数
      • 子网位数 = log₂(子网数量),向上取整
      • 主机位数 = log₂(最大子网中的主机数+2),向上取整
    4. 设计地址分配方案:为每个子网分配地址范围

    子网掩码计算

    子网掩码用于区分IP地址中的网络部分和主机部分:

    • 网络部分:掩码中的"1"位
    • 主机部分:掩码中的"0"位

    例如,掩码255.255.255.0(二进制为24个1后跟8个0)表示前24位是网络地址,后8位是主机地址。

    CIDR表示法

    **无类域间路由(CIDR)**提供了一种更简洁的表示子网的方法:

    • 使用"/"后跟网络前缀长度
    • 例如:192.168.1.0/24表示前24位是网络部分(等同于掩码255.255.255.0)

    实际计算示例

    将192.168.1.0/24网络划分为4个子网:

    1. 需要4个子网,因此需要2个子网位(2² = 4)
    2. 网络前缀从/24扩展到/26(24+2)
    3. 子网掩码变为255.255.255.192
    4. 产生的子网:
      • 192.168.1.0/26(主机范围:192.168.1.1 - 192.168.1.62)
      • 192.168.1.64/26(主机范围:192.168.1.65 - 192.168.1.126)
      • 192.168.1.128/26(主机范围:192.168.1.129 - 192.168.1.190)
      • 192.168.1.192/26(主机范围:192.168.1.193 - 192.168.1.254)

    特殊地址

    每个子网中:

    • 网络地址:子网范围的第一个地址(如192.168.1.0)
    • 广播地址:子网范围的最后一个地址(如192.168.1.63)
    • 这两个地址不能分配给设备使用

    子网划分是网络规划和实施中的基础技能,为网络工程师提供了构建高效、安全和可扩展网络的工具。

  • 网络拓扑结构解析

    星型拓扑 (Star Topology)

    星型拓扑以中央节点(通常是交换机或路由器)为中心,所有设备直接连接到这个中心点。数据传输必须经过中心节点,形成星形布局。

    • 优点:易于安装和维护;一个设备故障不会影响其他设备;易于添加新设备;故障排除简单
    • 缺点:依赖中心节点,中心节点故障会导致整个网络瘫痪;需要更多线缆
    • 应用:现代局域网(LAN)最常见的拓扑结构,如办公室以太网

    环型拓扑 (Ring Topology)

    环型拓扑将所有设备连接成一个闭合回路,数据沿着环单向或双向传输,每个设备接收并转发数据到下一个设备。

    • 优点:所有设备共享网络访问权;不需要中央服务器;数据传输较为可靠;适合高流量网络
    • 缺点:单点故障可能中断整个环;添加或删除设备困难;故障排除复杂
    • 应用:FDDI和令牌环网络,部分城域网和工业控制网络

    网状拓扑 (Mesh Topology)

    网状拓扑中,所有或部分设备直接相互连接,创建多条可能的数据路径。

    • 全网状:每个设备都与其他所有设备直接连接
    • 部分网状:只有部分设备相互连接
    • 优点:高可靠性和冗余;故障不会影响整体网络;数据可以同时通过多条路径传输
    • 缺点:布线和维护复杂;成本高;需要大量端口和连接
    • 应用:骨干网、关键业务网络、无线mesh网络、互联网核心路由器

    总线拓扑 (Bus Topology)

    总线拓扑使用单一的共享传输媒介(主干线),所有设备直接连接到这条线上。数据在总线上传输,每个设备都能收到信号,但只有目标设备会处理数据。

    • 优点:简单且低成本;易于实施;适合小型网络;线缆使用少
    • 缺点:可扩展性差;总线故障会导致整个网络瘫痪;随着设备增加,性能下降;冲突风险高
    • 应用:早期以太网(10Base-2,10Base-5),现代网络中较少使用
  • NAS和SAN基础:nas是一台为存储优化后的单一设备,san是企业级的分布式存储网路用于应用服务器和存储服务器间相互连接
  • 虚拟化基础

    • 虚拟化核心概念简述

      Hypervisor (虚拟机监控器): 实现硬件虚拟化的软件层,负责创建和管理虚拟机,分配物理资源,并确保各虚拟机间的隔离性。

      VM (虚拟机): 一个完全独立的虚拟计算环境,模拟完整的物理计算机系统,拥有虚拟化的CPU、内存、存储和网络资源。

      Guest OS (客户操作系统): 安装并运行在虚拟机内部的操作系统,它认为自己在直接与物理硬件交互,实际却是在虚拟化环境中运行。

      Host OS (宿主操作系统): 运行在物理硬件上的操作系统,为Type 2虚拟机监控器提供基础环境,或作为管理Type 1虚拟机监控器的接口。

    • 常见虚拟化技术对比

      VMware

      VMware是虚拟化市场的领导者,提供多种企业级虚拟化产品:

      • 核心优势:高稳定性、性能和先进的管理功能,提供广泛的可扩展性和灵活性 Veeam Software
      • 关键产品
        • vSphere:全面的虚拟化平台,将数据中心转变为聚合计算基础设施,包括CPU、存储和网络资源 StarWind Blog
        • ESXi:类型1的裸机虚拟机管理程序,直接安装在物理硬件上 StarWind Blog
      • 适用场景:大型企业和数据中心,适合运行关键任务应用程序的组织 StarWind Blog
      • 许可模式:自Broadcom收购后,免费版ESXi不再提供,正在从永久许可转向订阅模式 Qim info

      VirtualBox

      Oracle的VirtualBox是一款跨平台的开源虚拟化软件:

      • 核心优势:易用性高、轻量级,同时提供强大快速的虚拟化解决方案 Four Cornerstone
      • 主要特点
        • 跨平台兼容:可用于Windows、Mac OS X、Oracle Solaris和Linux Four Cornerstone
        • 快照功能:可以保存虚拟机状态信息,允许用户返回之前的状态 Geek University
        • 客户机增强功能:提供额外的工具来改善客户机操作系统性能并提供与主机系统的额外集成 Geek University
      • 适用场景:适合测试和开发应用程序,查看它们如何在不同操作系统上运行 Four Cornerstone
      • 许可模式:个人使用免费,有大型社区支持 Four Cornerstone

      Proxmox VE

      Proxmox是一个开源的企业级虚拟化平台:

      • 核心优势:将两种虚拟化技术(KVM和LXC)结合在单一平台上,为生产环境提供最大灵活性 Proxmox
      • 主要特点
        • 混合虚拟化:同时支持虚拟机(VM)和容器 RedSwitches
        • Web界面:集成的基于Web的用户界面,轻松管理虚拟机和容器 Proxmox
        • 集群与高可用性:提供集群功能和灾难恢复工具
      • 适用场景:中小型企业、教育机构和非营利组织,需要强大虚拟化解决方案但预算有限 StarWind Blog
      • 许可模式:开源平台,零许可成本,提供完整功能访问 Proxmox

      ESXi

      VMware的ESXi是一个裸机虚拟机管理程序:

      • 核心优势:无缝集成VMware生态系统,包括自动负载均衡、实时迁移和高级网络功能 RedSwitches
      • 主要特点
        • 高可用性:支持通过vMotion实现虚拟机的实时无中断迁移 RedSwitches
        • 资源管理:先进的管理工具如vCenter Server,提供用户友好界面进行设置、监控和管理 RedSwitches
      • 适用场景:适合大规模部署和需要高性能、稳定性的企业环境 RedSwitches
      • 许可模式:需要付费许可获取企业功能和支持,尤其对大型部署来说成本较高 Veeam Software

  • 认证方法论解析

    Kerberos (密钥分发中心认证)

    Kerberos是一种网络认证协议,使用对称密钥加密提供强大的身份验证。它通过票据授予系统工作,无需在网络上传输密码。Kerberos主要用于企业网络环境,特别是Active Directory域中,为用户提供单点登录功能,同时保护凭证安全。

    LDAP (轻量级目录访问协议)

    LDAP是一种用于访问和维护分布式目录信息服务的开放标准协议。作为认证方法,它存储用户名和密码等凭证,并提供集中式用户管理。LDAP常用于企业环境中存储用户账户信息、验证用户身份,并支持各种应用程序和服务的统一认证需求。

    SSO (单点登录)

    单点登录允许用户使用一组凭证访问多个应用程序和服务,无需重复登录。实现SSO的方式有多种,包括SAML、OAuth和OpenID Connect等协议。SSO简化了用户体验,减少了密码疲劳,同时也集中了身份管理,提高了安全性和效率。

    Certificates (证书认证)

    基于证书的认证使用数字证书验证身份,通常基于公钥基础设施(PKI)。数字证书包含用户或服务的公钥及身份信息,由可信的证书颁发机构(CA)签名。这种方法提供了强大的身份验证,同时支持数据加密和数字签名,广泛用于网站HTTPS安全、VPN连接和客户端认证等场景。

    Local Auth (本地认证)

    本地认证是在设备或系统自身存储和验证用户凭证的方法,不依赖外部服务器。这包括基于密码、生物识别或PIN码等的认证机制。虽然实现简单,但在多系统环境中会导致凭证分散管理,增加了管理复杂性和密码重置需求。

    RADIUS (远程认证拨入用户服务)

    RADIUS是一种客户端/服务器协议,提供集中式AAA(认证、授权和计费)服务。它最初设计用于远程访问服务器,现在广泛应用于网络设备、VPN和无线网络的认证。RADIUS服务器集中处理用户认证请求,支持多种认证方法,并可与其他身份存储如LDAP集成,为大型网络提供可扩展的认证解决方案。

  • 理解常用协议
      • SSH:加密的命令行远程控制协议,让你安全地操作远程服务器。
      • RDP:微软的远程桌面协议,让你看到并使用远程计算机的完整图形界面。
      • FTP:不加密的文件传输协议,用于在网络上上传和下载文件。
      • SFTP:通过SSH加密的安全文件传输协议,保护传输的文件内容和凭证。
      • HTTP:网页浏览的基础协议,以明文方式传输网页内容。
      • HTTPS:加密版的HTTP,通过SSL/TLS保护你的浏览数据和隐私。
      • SSL/TLS:网络安全协议,为互联网通信提供加密、身份验证和数据完整性保护。

安全技能和知识

  • 攻击类型及差异
    • 钓鱼vs语音钓鱼vs鲸钓vs短信钓鱼
    • 垃圾邮件vs即时消息垃圾邮件
    • 肩窥、翻垃圾、尾随
    • 社会工程学、侦察
    • 冒充、水坑攻击
    • 路过式攻击、域名欺诈
    • 暴力破解vs密码喷洒
    • 零日漏洞
  • 学习恶意软件如何运作及类型
  • 基于Web的攻击和OWASP 10
  • 权限提升/基于用户的攻击
  • 理解CIA三要素
  • 理解握手过程
  • 威胁情报、OSINT基础
  • 假阴性/假阳性、真阴性/真阳性
  • 蓝队vs红队vs紫队
  • 网络杀伤链
  • 操作系统加固
  • MFA和2FA
  • 认证vs授权
  • 理解备份和弹性
  • 合规和审计员的角色
  • 理解风险的定义
  • 零信任核心概念
  • IDS和IPS蜜罐基础
  • 理解隔离概念
  • 边界vs DMZ vs分段
  • 渗透测试参与规则
  • 逆向工程基础
  • 漏洞管理基础
  • 威胁搜寻基础和概念
  • 理解取证基础
  • 理解运行手册概念
  • 理解纵深防御概念
  • 理解常见利用框架

常见基于网络的攻击

  • DoS vs DDoS
  • Evil Twin(恶意双胞胎)
  • MITM(中间人攻击)
  • DNS投毒
  • ARP投毒
  • 欺骗
  • 取消认证攻击
  • VLAN跳跃
  • 恶意接入点
  • 战争驾驶/拨号
  • 缓冲区溢出
  • 内存泄漏
  • SQL注入
  • XSS(跨站脚本)
  • CSRF(跨站请求伪造)
  • 哈希传递
  • 重放攻击
  • 目录遍历

安全产品

  • 防病毒、防恶意软件、EDR、DLP
  • 防火墙和下一代防火墙、HIPS
  • NIDS、NIPS、主机防火墙
  • 沙箱、ACL

无线安全

  • WPA vs WPA2 vs WPA3 vs WEP
  • EAP vs PEAP
  • WPS

理解威胁分类

  • 了解如何查找和使用日志
  • 将工具用于非预期目的
  • 理解常见标准
  • 理解框架
  • 理解事件响应流程

理解事件响应流程

  • 准备、识别
  • 控制、根除
  • 恢复、经验教训

事件响应和发现工具

  • nmap、tracert、nslookup、dig、curl
  • ipconfig、hping、ping、arp、cat、dd
  • head、tail、grep、wireshark、winhex
  • memdump、FTK Imager、autopsy

理解以下术语

  • ATT&CK、杀伤链、钻石模型
  • ISO、NIST、RMF、CIS、CSF

安全协议

  • FTP vs SFTP
  • SSL vs TLS
  • IPSEC
  • DNSSEC
  • LDAPS
  • SRTP
  • S/MIME

认证方法

  • NFC
  • 蓝牙
  • 红外线

密码学基础

  • 加盐哈希
  • 密钥交换
  • PKI
  • 私钥 vs 公钥
  • 混淆

监控和分析工具

  • SIEM、SOAR
  • 黑客常用发行版:ParrotOS、Kali Linux
  • LOLBAS
  • 事件日志、系统日志、网络流量
  • 数据包捕获、防火墙日志

加固概念

  • 基于MAC的端口阻止
  • 组策略
  • ACLs
  • 黑洞
  • 基于NAC
  • 补丁
  • 跳板服务器
  • 终端安全
  • 零日漏洞
  • 已知 vs 未知
  • APT

理解受众

  • 利益相关者
  • HR
  • 法律
  • 合规
  • 管理层

常用工具

  • VirusTotal
  • Joe Sandbox
  • any.run
  • urlvoid
  • urlscan
  • WHOIS

云技能和知识

  • 理解云服务:SaaS、PaaS、IaaS
  • 云模型:私有、公共、混合
  • 常见云环境:AWS、GCP、Azure
  • 常见云存储:S3、Dropbox、Box、OneDrive、Google Drive、iCloud
  • 理解云中安全概念
  • 理解部署到云的基础知识和一般流程
  • 理解云和本地之间的区别
  • 理解基础架构即代码的概念
  • 理解无服务器的概念
  • 理解CDN的概念

编程技能和知识(可选但推荐)

  • Python
  • Bash
  • PowerShell
  • Go
  • JavaScript
  • C++

认证

初级认证

  • CompTIA A+
  • CompTIA Linux+
  • CompTIA Network+
  • CompTIA Security+

高级认证

  • CISSP
  • CISA
  • CISM
  • GSEC
  • GPEN
  • GWAPT
  • GIAC
  • OSCP
  • CREST
  • CEH
  • CCNA

CTF夺旗赛 实践平台

  • HackTheBox
  • TryHackMe
  • VulnHub
  • picoCTF
  • SANS Holiday Hack Challenge

资源

在https://roadmap.sh可以找到此路线图的详细版本以及资源和其他路线图

最后建议

保持学习

posted on 2025-05-05 07:58  GKLBB  阅读(79)  评论(0)    收藏  举报