第 9 篇 | 安全学习环境：合法实验环境搭建

（新手必看！搭建安全、合法的学习环境，避免踩法律红线，安心实操）

学网安，实操是关键 —— 只看理论不做实验，永远学不会真正的网安技术。但很多新手入门时，最容易踩的坑就是 “没有合法的实验环境”，要么直接攻击真实网站、他人设备，触碰法律红线；要么不知道怎么搭建环境，只能对着教程 “纸上谈兵”。

其实，网安新手完全可以搭建属于自己的合法实验环境，不用复杂的设备和技术，用虚拟机 + 合法靶场，就能满足入门阶段的所有实操需求，既能安心练习，又能避免违法风险。这一篇我们详细讲解：新手如何搭建合法的网安学习环境，包括虚拟机的安装与配置、合法靶场的推荐与使用，一步步教你操作，新手也能轻松上手。

---

一、先明确：为什么必须搭建合法实验环境？

很多新手误以为 “学网安就要攻击真实网站”，其实这是最大的误区 ——未经授权的任何攻击行为，都是违法犯罪，哪怕是 “好奇试试”，也可能面临罚款、拘留，甚至刑事责任。

搭建合法实验环境，不仅能避免踩法律红线，还有 3 个核心好处：

1. 安全可控：实验环境是虚拟的，就算操作失误、植入恶意程序，也不会影响自己的真实设备，更不会危害他人网络。
2. 贴合实战：合法靶场和虚拟机，能模拟真实的网络环境、漏洞场景，让你在安全的前提下，练习攻击与防护技术，贴合实战需求。
3. 自由实操：可以随意进行端口扫描、漏洞测试、工具使用等操作，不用顾虑法律风险，放心练习，快速提升实操能力。

新手必记红线（刻在脑子里）

• 绝对不能在真实网络环境（比如家用网络、公共 WiFi）里，练习攻击、扫描、抓包等操作（除非是自己的设备，且不影响他人）。
• 绝对不能攻击陌生 IP、他人网站、公共服务器，哪怕是 “测试漏洞”，也是违法行为。
• 所有实操练习，必须在自己搭建的虚拟机、合法的靶场环境里进行，这是新手学网安的底线。

---

二、新手首选：虚拟机搭建（基础实验环境，必学）

虚拟机（VMware/ VirtualBox）是网安新手最基础、最常用的实验环境 —— 它能在你的真实电脑上，模拟出一台或多台虚拟电脑，你可以在虚拟电脑上安装系统、配置网络、练习工具使用，就算虚拟电脑中毒、崩溃，也不会影响你的真实设备。

新手推荐使用 VMware Workstation Player（免费版，足够入门使用），操作简单、兼容性好，下面详细讲解安装与配置步骤（Windows 系统实操，Mac 系统可参考类似步骤）。

（一）VMware Workstation Player 安装步骤（新手友好，免费）

1. 下载安装包：打开 VMware 官方官网（https://www.vmware.com/cn/products/workstation-player.html），点击 “下载免费版本”，根据自己的系统（Windows、Mac），下载对应的安装包（免费，无需破解，新手不要下载破解版）。
2. 安装虚拟机：
   • 双击下载好的安装包，弹出安装向导，点击 “下一步”。
   • 勾选 “我接受许可协议中的条款”，点击 “下一步”。
   • 选择安装路径（默认路径即可，也可以自定义，建议安装在 C 盘以外的磁盘，避免占用 C 盘空间），点击 “下一步”。
   • 取消勾选 “检查更新”“加入 VMware 客户体验计划”（可选，新手可取消，避免弹窗），点击 “下一步”。
   • 点击 “安装”，等待安装完成（约 5-10 分钟，期间不要关闭安装窗口）。
   • 安装完成后，点击 “完成”，桌面会出现 VMware 图标，双击即可打开。

（二）虚拟机配置：安装实验系统（新手推荐系统）

虚拟机安装完成后，需要安装一个 “实验系统”（相当于虚拟电脑的操作系统），新手推荐以下 2 款系统，操作简单、贴合网安入门需求：

1. 推荐系统 1：Windows 10/11（适合练习 Windows 系统防护、端口扫描、工具使用）
2. 推荐系统 2：Kali Linux（网安专用系统，自带大量网安工具，适合练习渗透测试、漏洞利用，新手入门可先熟悉基础操作）

以安装 Windows 10 为例，步骤如下：

1. 准备 Windows 10 镜像文件：从微软官方官网（https://www.microsoft.com/zh-cn/software-download/windows10），下载 Windows 10 镜像文件（ISO 格式，免费，需要注册微软账号）。
2. 新建虚拟机：
   • 打开 VMware，点击 “创建新的虚拟机”，弹出向导，选择 “典型（推荐）”，点击 “下一步”。
   • 选择 “安装程序光盘映像文件（ISO）”，点击 “浏览”，找到下载好的 Windows 10 镜像文件，点击 “下一步”。
   • 填写虚拟机名称（比如 “网安实验 – Win10”），选择虚拟机保存路径（建议和 VMware 安装路径一致，方便查找），点击 “下一步”。
   • 设置虚拟机磁盘大小（建议至少 20GB，新手可设置 30GB），选择 “将虚拟磁盘存储为单个文件”，点击 “下一步”。
   • 点击 “完成”，虚拟机创建完成，此时虚拟机还未安装系统，需要启动虚拟机，完成系统安装。
3. 安装 Windows 10 系统：
   • 选中创建好的虚拟机，点击 “开启此虚拟机”，虚拟机启动后，会自动进入 Windows 10 安装界面。
   • 按照 Windows 10 安装向导，选择语言、时区、键盘布局（默认即可），点击 “下一步”。
   • 点击 “现在安装”，选择 “自定义：仅安装 Windows（高级）”，选择虚拟机的磁盘（默认只有一个磁盘分区），点击 “下一步”。
   • 等待系统安装完成（约 15-20 分钟，期间虚拟机会自动重启几次，不要关闭虚拟机）。
   • 系统安装完成后，设置用户名、密码，完成初始化配置，即可使用虚拟机进行实验。

（三）虚拟机网络配置（新手必学，避免网络风险）

新手搭建虚拟机，一定要注意网络配置，避免虚拟网络和真实网络冲突，同时防止虚拟机中的恶意程序泄露到真实网络，推荐以下 2 种网络模式，新手优先选择第一种：

1. 推荐模式 1：仅主机模式（Host-Only）
   • 作用：虚拟机只能和真实电脑（主机）通信，不能访问外网，也不能被外网访问，安全性最高，适合新手练习工具使用、端口扫描、本地实验，完全不会影响他人网络。
   • 配置方法：打开 VMware，选中虚拟机，点击 “编辑虚拟机设置”→ 找到 “网络适配器”→ 选择 “仅主机模式”→ 点击 “确定”，重启虚拟机即可生效。
2. 可选模式 2：NAT 模式
   • 作用：虚拟机可以通过真实电脑的网络访问外网（比如下载工具、访问合法靶场），但外网不能访问虚拟机，适合需要访问外网的实验（比如下载 Kali Linux 工具、访问 TryHackMe 靶场）。
   • 配置方法：和 “仅主机模式” 类似，选择 “NAT 模式” 即可，新手注意：使用 NAT 模式时，不要在虚拟机中进行恶意扫描、攻击操作，避免被运营商检测到。

（四）虚拟机使用注意事项（新手必看）

1. 虚拟机和真实电脑的文件传输：可以通过 “共享文件夹” 功能，实现真实电脑和虚拟机之间的文件传输（比如把工具安装包传到虚拟机），具体方法：编辑虚拟机设置→ 找到 “选项”→ “共享文件夹”→ 启用共享文件夹，选择真实电脑上的文件夹，即可在虚拟机中访问。
2. 虚拟机快照：练习复杂操作（比如漏洞测试）前，给虚拟机创建 “快照”（相当于备份），如果操作失误、虚拟机中毒，可通过快照恢复到之前的状态，避免重新安装系统。
3. 关闭不必要的网络连接：练习时，尽量使用 “仅主机模式”，关闭虚拟机的外网连接，减少安全风险；不用虚拟机时，及时关闭虚拟机，节省电脑资源。

---

三、新手必备：合法靶场推荐（实战练习首选）

虚拟机适合练习工具使用、系统配置，而合法靶场，适合练习漏洞利用、渗透测试等实战操作 —— 靶场是官方搭建的、专门用于网安学习的虚拟环境，自带各种漏洞场景，完全合法，新手可以放心练习，不用顾虑法律风险。

下面推荐 4 个新手友好的合法靶场，从易到难，适合不同阶段的新手，重点推荐前 2 个，入门首选：

1. 靶场 1：OWASP Juice Shop（新手入门首选，Web 安全实战）

• 核心特点：免费、开源、新手友好，是 OWASP（开源 Web 应用安全项目）推出的 Web 安全靶场，模拟了一个真实的在线果汁商店网站，包含 SQL 注入、XSS、CSRF 等常见 Web 漏洞，难度适中，适合新手练习 Web 安全攻击与防护。
• 安装方法（新手推荐虚拟机安装）：
  1. 打开 OWASP Juice Shop 官方官网（https://owasp.org/www-project-juice-shop/），下载 Juice Shop 的 Docker 镜像（新手也可以下载安装包，直接安装在虚拟机的 Windows 或 Kali 系统中）。
  2. 按照官网的安装教程，一步步安装，安装完成后，打开浏览器，输入 “http://localhost:3000”，即可访问靶场，开始练习。
• 练习建议：新手先从简单的漏洞（比如 XSS、弱口令）开始，熟悉漏洞原理和利用方法，再逐步挑战复杂漏洞。

2. 靶场 2：TryHackMe（在线靶场，新手友好，无需搭建）

• 核心特点：在线靶场，无需本地搭建，注册账号即可使用，免费版足够新手入门，包含大量新手友好的学习路径（比如 “Complete Beginner” 路径），从基础的网络知识、工具使用，到漏洞利用、渗透测试，一步步引导新手学习，非常适合零基础小白。
• 使用方法：
  1. 打开 TryHackMe 官方官网（https://tryhackme.com/），注册一个免费账号（用邮箱即可注册，无需付费）。
  2. 登录后，点击 “Learning Paths”，选择 “Complete Beginner” 路径，按照路径中的课程，一步步学习、练习，每个课程都有对应的靶场环境，点击 “Start Machine”，即可启动靶场，开始实操。
• 练习建议：新手每天花 1-2 小时，跟着路径学习，先掌握基础工具和原理，再进行实战练习，进步最快。

3. 靶场 3：Vulhub（漏洞环境集合，进阶练习）

• 核心特点：免费、开源，是一个基于 Docker 的漏洞环境集合，包含大量常见的漏洞环境（比如 Apache、Nginx、MySQL 等软件的漏洞），适合新手进阶练习，熟悉漏洞的利用过程。
• 安装方法：需要在虚拟机的 Linux 系统（比如 Kali Linux）中安装 Docker，然后下载 Vulhub 的漏洞环境，步骤相对复杂，新手可在掌握基础操作后，再尝试搭建。

4. 靶场 4：Hack The Box（进阶靶场，适合有基础的新手）

• 核心特点：在线靶场，包含大量真实的漏洞场景，难度比 TryHackMe 高，适合有一定基础的新手，练习实战渗透能力，免费版可使用部分靶场环境，付费版功能更全。
• 使用建议：新手先在 TryHackMe、OWASP Juice Shop 练习，掌握基础技能后，再尝试 Hack The Box，避免因难度过高而劝退。

---

四、实验环境使用核心原则（新手必记，避免踩坑）

1. 合法性：所有实验，必须在虚拟机、合法靶场中进行，绝对不能涉及真实网站、他人设备、公共网络，哪怕是自己的家用路由器，未经授权也不能随意测试。
2. 安全性：练习时，尽量关闭虚拟机的外网连接，避免恶意程序、漏洞利用工具泄露到真实网络；不用实验环境时，及时关闭虚拟机和靶场，清理实验数据。
3. 循序渐进：新手先在虚拟机中练习工具使用、端口扫描、系统配置，再到合法靶场练习漏洞利用，不要一开始就挑战复杂的渗透测试，避免打击信心。
4. 记录总结：每次实验后，记录自己的操作步骤、遇到的问题、解决方法，总结经验，慢慢积累，实操能力会提升更快。

---

💡 本篇学习小贴士

1. 新手入门，优先搭建 VMware 虚拟机（安装 Windows 10），搭配 TryHackMe 在线靶场，无需复杂配置，就能满足大部分实操需求。
2. 不要追求 “复杂环境”，入门阶段，能练习工具使用、漏洞原理即可，后续进阶再搭建更复杂的环境（比如 Vulhub）。
3. 搭建环境时，遇到问题不要慌，可在百度、B 站搜索相关教程，大部分问题都有详细的解决方法，也可以在网安社区提问求助。