转换地址处理方法、装置、设备及计算机可读存储介质与流程

本申请涉及通信技术领域，特别涉及一种转换地址处理方法、装置、设备及计算机可读存储介质。

背景技术：

源网络地址转换(sourcenetworkaddresstranslation，简称nat)，就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关处，将内部地址替换成公用地址，从而在外部公网(即internet)上正常使用，nat可以使多台计算机共享internet连接，这一功能很好地解决了公共网际互连协议(internetprotocol，简称ip)地址紧缺的问题。通过这种方法，可以只申请一个合法ip地址，就能把整个局域网中的计算机接入internet中。这时，nat屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到nat的存在。该方法的优点在于，基于ipv4地址已将近告罄，使用内网地址进行ip地址配置，可以有效减少ipv4地址的消耗，并且，通过nat网关可以正常的访问互联网，并隐藏内部网络，对内网进行保护，有效地避免了来自网络外部的攻击，这在网络安全领域有着举足轻重的地位。

参见图1所示的剔除不可用ip的流程示意图。在一条报文经过安全设备时，需要查询得到可用的nat资源(包括ip+端口)，为该条报文做源nat转换处理，如果源nat转换处理成功，则记录该条报文的当前会话状态并为其设置定时器事件，定时器事件响应后，如果经nat转换后得到的公网ip属于不可用ip，则释放该条报文对应的nat转换资源，并从nat地址池中剔除此该不可用ip，否则根据该条报文对应的当前连接状态进行相应操作。其中，对经过安全设备的每条报文可以以会话的形式记录，在每条报文对应的会话中记录源nat信息。

在剔除不可用ip的流程中，由于源nat资源查找是必不可少的开销，如果遍历所有的nat会话去查找会话状态为长时间未改变的连接，这在很大程度上会影响安全设备的性能，故而，可以使用定时器响应事件，因为安全设备上源nat转换资源是有限的，所以一定量级的定时器对安全设备性能的影响较小。参见图2所示的定时器响应事件的处理流程示意图，在定时器事件中，会检查会话状态是否发生了更新，如果更新，则重新设置定时器事件，否则判断当前连接是否是无效连接；若当前连接为无效连接，则将经nat转换后得到的公网ip从nat地址池中剔除，并释放其nat转换资源，若此连接为有效连接，则清除会话上的定时器事件。

通过定时检查nat转换后会话状态是否变更，用以检查转换连接是否有效，若连接无效，则从nat地址池中剔除转换后的地址资源，即剔除不可用ip，且一旦剔除则不再恢复。但在实际的网络环境中，上下游网络环境并非一成不变的，这是因为，当前不可用连接可能随着上下游网络环境的变化(比如目的地址侧添加路由配置等)变为可用连接，故而，这种一旦剔除就不可再用的ip处理方式，在实际变化的网络环境中存在极大的适用局限性。

技术实现要素：

有鉴于此，本申请提供了一种转换地址处理方法、装置、设备及计算机可读存储介质，能够适应实际变化的网络环境。

具体地，本申请是通过如下技术方案实现的：

一种转换地址处理方法，包括：

通过对目标报文进行源网络地址转换nat操作后，得到所述目标报文的转换后源地址，作为目标源地址；

若不在所述目标源地址的有效状态生效时间间隔内，则清除为所述目标源地址设置的有效状态生效时间间隔；

若所述目标报文的会话连接为无效连接，则为所述目标报文重新选取转换后源地址，并为所述目标源地址设置无效状态生效时间间隔，以在所述无效状态生效时间间隔内，禁止所述目标源地址作为所述目标报文以及其它报文的转换后源地址，其中，所述其它报文与所述目标报文的目的地址相同。

一种转换地址处理装置，包括：

地址转换单元，用于通过对目标报文进行源网络地址转换nat操作后，得到所述目标报文的转换后源地址，作为目标源地址；

设置清除单元，用于若不在所述目标源地址的有效状态生效时间间隔内，则清除为所述目标源地址设置的有效状态生效时间间隔；

无效设置单元，用于若所述目标报文的会话连接为无效连接，则为所述目标报文重新选取转换后源地址，并为所述目标源地址设置无效状态生效时间间隔，以在所述无效状态生效时间间隔内，禁止所述目标源地址作为所述目标报文以及其它报文的转换后源地址，其中，所述其它报文与所述目标报文的目的地址相同。

一种电子设备，包括：处理器、存储器；

所述存储器，用于存储计算机程序；

所述处理器，用于通过调用所述计算机程序，执行上述转换地址处理方法。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述转换地址处理方法。

在以上本申请提供的技术方案中，通过对目标报文进行源nat操作后，得到目标报文的转换后源地址，作为目标源地址；若不在目标源地址的有效状态生效时间间隔内，则清除为目标源地址设置的有效状态生效时间间隔，这样，可以根据目标报文的会话连接状态重新确定目标源地址的有效性，进而为目标报文重新设置有效状态生效时间间隔、或改为设置无效状态生效时间间隔。若目标报文的会话连接为无效连接，则说明该会话连接不可达，需要为目标报文重新选取转换后源地址，并且，为目标源地址设置无效状态生效时间间隔，以便在无效状态生效时间间隔内，禁止目标源地址作为具有相同目的地址的目标报文以及其它报文的转换后源地址，这种使目标源地址的间断性无效，不但能够避免频繁使用定时器事件对安全设备性能造成的影响，也能适应实际变化的网络环境。

附图说明

图1为本申请示出的剔除不可用ip的流程示意图；

图2为本申请示出的定时器响应事件的处理流程示意图；

图3为本申请示出的一种转换地址处理方法的流程示意图；

图4为本申请示出的地址端口的转换流程示意图；

图5为本申请示出的另一种转换地址处理方法的流程示意图；

图6为本申请示出的一种转换地址处理装置的组成示意图；

图7为本申请示出的一种电子设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在介绍本申请实施例之前，首先对本申请实施例涉及的技术术语进行介绍。

源nat：sourcenetworkaddresstranslation，源网络地址转换，是一种将私有地址转化为公有ip地址的转换技术，它被广泛应用于各种类型接入方式和网络中。nat解决了lp地址不足的问题，还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

会话：即链接跟踪，当一条流量经过设备时，记录该条流量对应的五元组、出入接口、mac地址(mediaaccesscontroladdress，直译为媒体存取控制位址)以及nat信息在内的各项转发信息。

nat地址池：地址池是由一些外部地址(全球唯一的ip地址)组合而成，称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换到达外部网络时，会在地址池中选择某个ip地址作为数据包的源ip地址，这样可以有效的利用用户的外部地址，提高访问外部网络的能力。

无效连接：是指客户端发出请求报文后，服务器没有回应或者进行了阻断，导致连接不能正常建立，无法用于数据传输。

不可用ip：当使用公网ip地址池中的某个地址进行源nat转换时，由于此次转换所形成的会话是无效的连接，因此，该地址即为不可用ip地址。

为了便于理解现有的剔除不可用ip的技术方案，现对其进行举例说明。

客户端(192.168.1.1)通过安全设备直接访问服务器端(172.30.0.1)，nat地址池范围为172.30.0.2-172.30.0.2和10.23.0.1-10.23.0.2。

客户端发起两个传输控制协议(transmissioncontrolprotocol/internetprotocol，简称tcp)请求，经过nat转换后形成以下会话：

(1)192.168.1.1-172.30.0.1转换为172.30.0.2-172.30.0.1；

(2)192.168.1.1-172.30.0.1转换为10.23.0.1-172.30.0.1。

在正常网络情况下，基于第一条会话，可以将其对应的数据报文正常转发到服务器端，即，可以查询到直连路由以访问到服务器端，交互后建立正常的连接并进行数据传输；但由于安全设备和服务器端无10.23的网段，基于第二条会话，则无法将其对应的数据报文正常转发到服务器端，其连接状态始终为syn_sent状态，无法进行有效的数据传输。

此时，通过定时器响应事件，可以判断其连接状态未改变且其为无效连接。所以，在第二条会话中，可以将经nat转换后得到的公网ip从nat地址池中剔除，后续的请求报文就不会再转换为此不可用的ip，从而提高了源nat转换的有效性。其中，定时器事件响应时间可以为6秒检查一次。

现有技术方案存在的缺点是：由于当前不可用连接可能随着上下游网络环境的变化(比如目的地址侧添加路由配置等)变为可用连接，故而，这种一旦剔除就不可再用的ip处理方式，在实际变换的网络环境中存在极大的适用局限性。

为解决上述技术问题，本申请实施例提供了一种转换地址处理方法，该方法通过为nat地址池中的外部ip地址设置合理的有效状态生效时间间隔和无效状态生效时间间隔，能够更符合变化的实际网络环境的需求。

下面对本申请实施例提供的转换地址处理方法进行具体介绍。

参见图3，为本申请实施例提供的转换地址处理方法的流程示意图，该方法的执行主体可以是安全设备，比如防火墙、路由器等，下面将结合图4所示的地址端口的转换流程示意图，对该方法的各个步骤进行介绍。

图3所示的转换地址处理方法包括以下步骤s301-s303：

s301：通过对目标报文进行源nat操作后，得到目标报文的转换后源地址，作为目标源地址。

在本申请实施例中，目标报文可以是报文首包，比如因特网包探索器(packetinternetgroper，简称ping)操作中的第一条报文，当然，也可以是非报文首包。如果目标报文的源ip地址是局域网内部网络中使用的内部地址，而内部网络中的网络设备想要通过安全设备访问外部网络时，当安全设备接收到来自内网的目标报文后，会对目标报文进行源nat操作，以得到目标报文的转换后源地址，该转换后源地址是一个外部ip地址，这样，内部网络的网络设备便可以基于该转换后源地址访问外部网络，为便于描述，这里将转换后源地址定义为目标源地址。

在本申请实施例中，s301具体可以包括以下步骤a1-a3：

步骤a1：在nat地址池内选取目标报文的初始转换后地址，作为待定源地址。

安全设备在接收到目标报文后，会根据源nat转换配置匹配源nat策略，匹配成功后，获得指定的nat地址池的信息，该nat地址池存储了多个外部ip地址，参见图4所示的s401-s402。基于此，在对目标报文进行初始的nat操作时，可以从该nat地址池中选取一个外部ip地址，即初始转换后地址，由于该初始转换后地址可能不是最终的转换后源地址，因此，这里将该初始转换后地址定义为待定源地址。

在本申请实施例的一种实现方式中，步骤a1中的“在nat地址池内选取目标报文的初始转换后地址”，具体可以包括：基于目标报文的转换前源地址、目标报文的转换前源端口、以及nat地址池中的地址数目中的至少一项，进行哈希计算；根据计算得到的哈希值，从nat地址池内选取目标报文的初始转换后地址。

在本实现方式中，目标报文的转换前源地址即为目标报文的内部网络地址，目标报文的转换前源端口即为目标报文的内部网络端口，为了实现对外部网络的访问，需要将内部网络的地址和端口，转换为外部网络的地址和端口。其中，在进行地址转换时，可以将目标报文的转换前源地址、目标报文的转换前源端口、以及nat地址池的地址数目中的一项或多项进行求余的哈希(hash)计算，从而得到一个哈希值，然后，基于该哈希值从nat地址池中选取一个外部ip地址，作为目标报文的初始转换后地址，参见图4所示的s403。

步骤a2：确定关联表中是否存在目标报文的待定源地址与目标报文的目的地址之间的记录关系。

其中，关联表中记录了各个目的地址与nat地址池中的各个源地址(即各个外部ip地址)之间的关联关系。

实际应用中，由于内部网络的不同源ip地址，可能通过源nat转换成nat地址池中的同一外部ip地址，但转换之后，各自对应的目的地址可能不同，导致有的网络连接可能是无效的，这是因为，nat地址池中的地址是否可用，是与访问的目的地址属性紧密相关的。

故而，可以建立各个目的地址与nat池地址中的各个源地址之间的关联表，并对其可用状态进行标识，这样，当通过步骤a1在nat地址池内选取目标报文的待定源地址后，可以结合目标报文的目的地址和该待定源地址查询关联表，查看关联表中是否存在目标报文的待定源地址与其目的地址之间的记录关系，如果存在，则说明该待定源地址具有一定的可用性，但还需要通过后续步骤进一步确定该待定源地址的可用性，如果不可用，则不能将该待定源地址作为最终的转换后源地址(即目标源地址)，参见图4所示的s404。可见，通过查询关联表，可以提高对转换后源地址的选择结果的有效性。

步骤a3：若关联表中存在目标报文的待定源地址与目的地址之间的记录关系、且当前不在该待定源地址的无效状态生效时间间隔内，则将该待定源地址作为目标源地址。

进一步地，本申请实施例还包括步骤a4：若关联表中存在目标报文的待定源地址与目的地址之间的记录关系、且当前在该待定源地址的无效状态生效时间间隔内，则在nat地址池中重新选取目标报文的待定源地址，并继续执行步骤a2，直至得到目标源地址为止。

参见图4所示的s405-s407，下面对步骤a3和步骤a4进行具体介绍。

若关联表中存在目标报文的待定源地址与其目的地址之间的记录关系，则查看待定源地址的连接无效标记是否存在，若存在，则说明当前已经为该待定源地址设置了无效状态生效时间间隔，以使该待定源地址间断性无效。例如，假设无效状态生效时间间隔为间隔1分钟，那么，在第1分钟内，待定源地址处于“无效状态”，在第2分钟内，待定源地址处于“无效超时状态”，在第3分钟内，待定源地址处于“无效状态”，在第4分钟内，待定源地址处于“无效超时状态”，……。

当该待定源地址处于“无效超时状态”时，即当前不在该待定源地址的无效状态生效时间间隔内，此时，目标报文以及其它报文均可以以该待定源地址作为nat操作后的转换后源地址(即目标源地址)。

反之，当待定源地址处于“无效状态”时，即当前处于该待定源地址的无效状态生效时间间隔内，此时，目标报文以及其它报文均不能以该待定源地址作为nat操作后的转换后源地址(即目标源地址)，即，在无效状态生效时间间隔内，将该待定源地址从nat地址池内剔除。因此，需要重新为目标报文选取一个待定源地址，具体地，可以从nat地址池中，选择当前待定源地址的后一地址或前一地址，当然，也可以从nat地址池中随机选取一个未被选取过的地址，作为新的待定源地址，然后，重新执行步骤a2，直至得到目标源地址为止。

进一步地，当通过上述方式将某个待定源地址作为目标源地址之后，还可以包括以下步骤b1-b2：

步骤b1：确定目标报文的会话中包含的五元组信息。

在本申请实施例中，安全设备对经过该设备的每条报文都以会话的形式记录，基于报文的上行或下行，会话中包含正向的五元组信息或反向的五元组信息，通过五元组信息，唯一标识每条报文对应的网络连接。

在步骤b1中，目标报文对应的五元组信息包括源ip地址、源端口、目的ip地址、目的端口和传输层协议。由于该五元组信息是经过源nat操作后的五元组信息，因此，这里的源ip地址为目标报文的目标源地址，这里的源端口是从目标报文对应的端口转换范围内选择的一个端口。

其中，关于源端口，安全设备在接收到目标报文后，会根据源nat转换配置匹配源nat策略，匹配成功后，不但会获得指定的nat地址池信息，还会获取指定的端口转换范围。可以基于该端口转换范围，从中随机选取一个端口，作为五元组信息中的源端口。

步骤b2：若现有会话列表中存在目标报文的五元组信息，则从端口转换范围内重新选择一个端口，作为源端口，重新执行步骤b1，直至现有会话列表中不存在目标报文的五元组信息为止。

在本申请实施例中，可以根据目标报文的五元组信息查询现有会话列表，查看是否已存在具有该五元组的会话，以判断目标报文的五元组信息是否与其它报文的五元组信息相冲突，参见图4所示的s408。若现有会话列表中不存在目标报文的五元组信息，则说明目标报文的五元组信息与其它报文的五元组信息不冲突，可以进行正常的网络访问。

反之，若现有会话列表中存在目标报文的五元组信息，则说明目标报文的五元组信息与其它报文的五元组信息相冲突，此时，可以变换端口信息，即，从上述端口转化范围内重新选择一个端口，用于替换步骤b1中五元组信息中的源端口，得到更新后的五元组信息，再基于更新后的五元组信息，通过步骤b2重新查询现有会话列表，直至不再变更源端口为止(也即五元组信息不再冲突为止)，参见图4所示的s409-s410。

进一步地，该方法还可以包括步骤b3：若端口转换范围无法使现有会话列表中不存在目标报文的五元组信息，则在nat地址池中重新选取目标报文的待定源地址，重新执行步骤a2“确定关联表中是否存在待定源地址与目标报文的目的地址之间的记录关系”及其后续步骤。

具体来讲，参见图4所示的s410、s406和s404，若端口转换范围内的所有端口均存在冲突，则需要重新为目标报文选取待定源地址，然后重新执行上述“确定关联表中是否存在待定源地址与目标报文的目的地址之间的记录关系”及其后续步骤。需要说明得是，在nat地址池中重新选取目标报文的待定源地址时，可以采用上述步骤a4中介绍的选取方式，即，可以从nat地址池中，选择当前待定源地址的后一地址或前一地址，当然，也可以从nat地址池中随机选取一个未被选取过的地址，作为新的待定源地址。

可见，通过上述方式，可以为目标报文选取无冲突的转换后源地址(即目标源地址)和端口。

s302：若不在目标源地址的有效状态生效时间间隔内，则清除为目标源地址设置的有效状态生效时间间隔。

当获取到目标报文的无冲突的目标源地址后，可以查询关联表，确定关联表中是否已存在该目标源地址与目标报文的目的地址的记录关系；若存在，则说明连接可达，再查看目标源地址的连接有效标记是否存在；若存在，则说明之前已经为该目标源地址设置了有效状态生效时间间隔。例如，假设有效状态生效时间间隔为间隔1分钟，那么，在第1分钟内，目标源地址处于“有效状态”，在第2分钟内，目标源地址处于“有效超时状态”，在第3分钟内，目标源地址处于“有效状态”，在第4分钟内，目标源地址处于“有效超时状态”，……。

当该目标源地址处于“有效超时状态”时，即不在该目标源地址的有效状态生效时间间隔内，此时，可以在地址池有效信息表中添加目标报文的目标源地址、目标报文的目的地址、以及目标报文的会话标识(即会话id)，参见图4所示的s409。

并且，将之前为目标源地址设置的有效状态生效时间间隔进行清除，以便根据目标报文的会话状态重新确定目标源地址的有效性，进而为目标报文重新设置有效状态生效时间间隔、或改为设置无效状态生效时间间隔。

s303：若目标报文的会话连接为无效连接，则为目标报文重新选取转换后源地址，并为目标源地址设置无效状态生效时间间隔，以在无效状态生效时间间隔内，禁止目标源地址作为所述目标报文以及其它报文的转换后源地址，其中，其它报文与目标报文的目的地址相同。

在本申请实施例中，需要判断目标报文的会话连接是否是无效连接，即执行图5所示的s304，若是，则执行s303。其中，有效连接是指客户端发出请求报文后，服务器有回应，连接能正常建立，能够用于数据传输；而无效连接是指客户端发出请求报文后，服务器没有回应或者进行了阻断，导致连接不能正常建立，无法用于数据传输。

在本申请实施例的一种实现方式中，s304具体可以包括：根据目标报文的会话标识(即会话id)，查询目标报文的会话状态是否发生变化；根据会话状态的变化情况，确定目标报文的会话连接是否是无效连接。

在本实现方式中，可以为目标报文的会话状态设置定时器，当目标报文的会话状态检测定时器超时生效时，根据所记录的目标报文的会话id查询其会话状态是否变化，若会话状态始终不变，即当前会话状态与之前保存的会话状态一致，说明该会话连接无法进行有效的数据传输，即该会话连接是无效连接，反之则为有效连接。

在本申请实施例中，若目标报文的会话连接为无效连接，则将目标源地址的记录信息中，将目标源地址的无效标记置为1，使目标报文重新进行源nat操作，即重新执行步骤s301。此外，为该目标源地址设置无效状态生效时间间隔，使目标报文以及后续其它报文(该其它报文的目的地址与目标报文的目的地址相同)在进行源nat转换时，在目标源地址的无效状态生效时间间隔内，从nat地址池中剔除该目标源地址，即，禁止该目标源地址作为目标报文和其它报文的转换后源地址。

进一步地，参见图5，本申请实施例还可以包括s305：若目标报文的会话连接为有效连接，则为目标源地址重新设置有效状态生效时间间隔。

可见，本申请实施例为目标源地址设置合理的有效状态生效时间间隔，当有目标报文进行nat转换得到目标源地址、且不在目标源地址的有效状态生效时间间隔内时，才启动定时器事件，这样，通过设置合理的有效状态生效时间间隔，能够避免每连接的会话状态检测所采用的定时器处理对安全设备性能造成的影响，可以减少对定时器的使用，也能适应变化的实际网络环境的需求。同理，本申请实施例为目标源地址设置合理的无效状态生效时间间隔，当处于该无效状态生效时间间隔内时，禁止目标源地址作为nat转换后地址，在此期间，如果该目标源地址因网络变化成为有效连接中的源地址，则当该无效状态生效时间间隔超时时，则可以重新恢复目标源地址的使用，使其可以作为nat转换后地址，更符合变换的实际网络环境的需求。

在上述本申请实施例提供的转换地址处理方法中，通过对目标报文进行源nat操作后，得到目标报文的转换后源地址，作为目标源地址；若不在目标源地址的有效状态生效时间间隔内，则清除为目标源地址设置的有效状态生效时间间隔，这样，可以根据目标报文的会话连接状态重新确定目标源地址的有效性，进而为目标报文重新设置有效状态生效时间间隔、或改为设置无效状态生效时间间隔。若目标报文的会话连接为无效连接，则说明该会话连接不可达，需要为目标报文重新选取转换后源地址，并且，为目标源地址设置无效状态生效时间间隔，以便在无效状态生效时间间隔内，禁止目标源地址作为具有相同目的地址的目标报文以及其它报文的转换后源地址，这种使目标源地址的间断性无效，不但能够避免频繁使用定时器事件对安全设备性能造成的影响，也能适应实际变化的网络环境。

参见图6，为本申请实施例提供的一种转换地址处理装置的组成示意图，该装置包括：

地址转换单元610，用于通过对目标报文进行源网络地址转换nat操作后，得到所述目标报文的转换后源地址，作为目标源地址；

设置清除单元620，用于若不在所述目标源地址的有效状态生效时间间隔内，则清除为所述目标源地址设置的有效状态生效时间间隔；

无效设置单元630，用于若所述目标报文的会话连接为无效连接，则为所述目标报文重新选取转换后源地址，并为所述目标源地址设置无效状态生效时间间隔，以在所述无效状态生效时间间隔内，禁止所述目标源地址作为所述目标报文以及其它报文的转换后源地址，其中，所述其它报文与所述目标报文的目的地址相同。

在本申请实施例的一种实现方式中，所述装置还包括：

有效设置单元，用于若所述目标报文的会话连接为有效连接，则为所述目标源地址重新设置有效状态生效时间间隔。

在本申请实施例的一种实现方式中，地址转换单元610，具体用于：

在nat地址池内选取所述目标报文的初始转换后地址，作为待定源地址；

确定关联表中是否存在所述待定源地址与所述目标报文的目的地址之间的记录关系，其中，所述关联表中记录了各个目的地址与所述nat地址池中的各个源地址之间的关联关系；

若所述关联表中存在所述记录关系、且当前不在所述待定源地址的无效状态生效时间间隔内，则将所述待定源地址作为所述目标源地址。

在本申请实施例的一种实现方式中，地址转换单元610，还用于：

若所述关联表中存在所述记录关系、且当前在所述待定源地址的无效状态生效时间间隔内，则在所述nat地址池中重新选取所述待定源地址，继续实现所述确定关联表中是否存在所述待定源地址与所述目标报文的目的地址之间的记录关系的功能。

在本申请实施例的一种实现方式中，地址转换单元610，具体用于：

基于所述目标报文的转换前源地址、所述目标报文的转换前源端口、以及所述nat地址池中的地址数目中的至少一项，进行哈希计算；

根据计算得到的哈希值，从所述nat地址池内选取所述目标报文的初始转换后地址。

在本申请实施例的一种实现方式中，所述装置还包括端口转换单元，用于：

将所述待定源地址作为所述目标源地址之后，确定所述目标报文的会话中包含的五元组信息，其中，所述五元组信息包括源ip地址、源端口、目的ip地址、目的端口和传输层协议，所述源ip地址为所述目标源地址，所述源端口是从所述目标报文对应的端口转换范围内选择的一个端口；

若现有会话列表中存在所述五元组信息，则从所述端口转换范围内重新选择一个端口，作为所述源端口，继续实现所述确定所述目标报文的会话中包含的五元组信息的功能，直至所述现有会话列表中不存在所述五元组信息为止。

在本申请实施例的一种实现方式中，端口转换单元，还用于：

若所述端口转换范围无法使所述现有会话列表中不存在所述五元组信息，则在所述nat地址池中重新选取所述目标报文的待定源地址，继续实现所述确定关联表中是否存在所述待定源地址与所述目标报文的目的地址之间的记录关系的功能。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本申请实施例还提供了一种电子设备，该电子设备的结构示意图如图7所示，该电子设备7000包括至少一个处理器7001、存储器7002和总线7003，至少一个处理器7001均与存储器7002电连接；存储器7002被配置用于存储有至少一个计算机可执行指令，处理器7001被配置用于执行该至少一个计算机可执行指令，从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种转换地址处理方法的步骤。

进一步，处理器7001可以是fpga(field－programmablegatearray，现场可编程门阵列)或者其它具有逻辑处理能力的器件，如mcu(microcontrollerunit，微控制单元)、cpu(centralprocessunit，中央处理器)。

应用本申请实施例，使目标源地址的间断性无效，不但能够避免频繁使用定时器事件对安全设备性能造成的影响，也能适应实际变化的网络环境。

本申请实施例还提供了另一种计算机可读存储介质，存储有计算机程序，该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种转换地址处理方法的步骤。

本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、cd-rom、和磁光盘)、rom(read-onlymemory，只读存储器)、ram(randomaccessmemory，随即存储器)、eprom(erasableprogrammableread-onlymemory，可擦写可编程只读存储器)、eeprom(electricallyerasableprogrammableread-onlymemory，电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是，可读存储介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。

应用本申请实施例，使目标源地址的间断性无效，不但能够避免频繁使用定时器事件对安全设备性能造成的影响，也能适应实际变化的网络环境。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。