1.3.4 用户和用户组

用户是访问网络资源的主体，表示“谁”在进行访问，是网络访问行为的重要标识，自然也是防火墙进行网络访问控制的重要维度。

在防火墙上部署用户管理与认证，可以将网络流量的IP地址识别为用户，并将用户与IP地址的对应关系记录在在线用户表中。基于用户配置安全策略，本质上就是针对该用户对应的IP地址应用安全策略。基于用户的安全策略可以提高访问控制的易用性和准确性：用户和用户组反映了真实的组织结构，基于用户的访问控制符合真实的业务需求，易于理解，提高了策略的易用性；在线用户表记录了用户当前登录状态下使用的IP地址，避免了IP地址动态变化场景下的访问控制问题，以不变的用户应对变化的IP地址。

1. 用户组织结构

防火墙中的用户组织结构是现实中的组织结构的映射，是基于用户进行访问控制的基础。用户组织结构有两种维度，体现为两种用户对象，如表1-17所示。

表1-17　两种用户组织结构

用户组/用户是“纵向”的组织结构，体现了用户的所属关系；安全组是“横向”的逻辑结构，体现了安全等级和业务访问权限。安全组有两种典型的应用场景：基于项目维度，组建跨部门的群组，可以把不同部门的用户划分到同一个安全组，从新的管理维度来设置访问控制策略；企业已经采用第三方认证服务器，且启用了横向群组（如AD服务器上的安全组、SUN ONE LDAP服务器上的静态组和动态组），为了基于这些群组配置策略，管理员需要创建安全组，与认证服务器上的组织结构保持一致。

有关用户组/用户、安全组的具体原理和配置方法，请参考产品文档。

2. 在安全策略中引用用户组/用户、安全组

在安全策略中引用用户组/用户、安全组作为安全策略的匹配条件，用户获得的访问权限是其所属用户组和安全组的权限的并集。值得注意的是，在安全策略中引用用户组/用户和安全组，组内用户的策略继承关系略有区别。

用户组/用户：用户组内的直属用户、所有下级子用户组内的用户都继承该用户组的安全策略和访问权限。

安全组：只有安全组内的直属用户继承该安全组的安全策略和访问权限，安全组内的子安全组的用户不继承上级安全组的安全策略和访问权限。

但是，当需要为某个用户组/用户配置继承策略之外的特殊权限时，用户组/用户策略的继承关系将失去意义。以图1-15为例，假设“研发部”所有员工都拥有相同的基础权限（资源A），同时“研发1部”还拥有特有权限（资源B）。

图1-15　用户组的权限继承关系与特殊需求

在这个场景中，针对研发部的基础权限，需要配置1条安全策略A，允许研发部员工访问资源A。那么针对研发1部的特有权限，这条安全策略B应该怎么配置呢？

首先，根据安全策略的匹配规则，针对研发1部的安全策略B必须置于安全策略A之前。否则，研发1部用户的访问请求会命中安全策略A，并不再继续向下匹配，因此只能获得访问资源A的权限。

其次，安全策略B中必须同时指定资源A和资源B。同样是因为安全策略的匹配规则，研发1部用户的访问请求命中安全策略B，并不再向下匹配，只能获得安全策略B指定的访问权限。也就是说，在这种场景下，子组无法继承父组的访问权限。

正确的安全策略配置方法如表1-18所示。

表1-18　安全策略配置方法