网络地址转换方法及实现访问控制列表的方法

专利名称：网络地址转换方法及实现访问控制列表的方法
技术领域：
本发明涉及网络安全技术，尤其涉及一种网络地址转换方法及实现访问控制列表的方法。
背景技术：
现今，伴随着计算机和通讯技术的高速发展，网络的开放性、互连性、共享性程度的扩大，企业越来越依赖信息和网络技术来支持其在全球市场中的迅速成长和扩大。但随之而来的威胁也越来越多，如黑客攻击、恶意代码、蠕虫病毒。为此，很多企业根据核心数据库和系统运营的需要，逐步部署了防火墙、防病毒等安全产品，并配备了相应的安全策略及网络安全管理设备。
网络地址转换(Network Address Transform，NAT)是指在一个网络内部，根据需要可以随意自定义IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备(比如路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。NAT的目的是一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。通过这种设置将企业内部网与外部internet网络隔开，能防止非法外部用户对企业内部网络的访问及攻击。
目前，在实现NAT时，具有NAT功能的设备收到一个IP包会先用网络内部IP地址和端口号为索引去查找是否已经有对应的网络内部地址与网络外部公用的合法IP地址转换信息，如果没有该信息，具有NAT功能的设备会生成网络内部IP地址和端口号与网络外部IP地址和端口号的地址转换信息对应关系，后续有以相同的网络内部IP地址和端口号标识的数据包时，就可以按照这个记录的地址转换信息进行网络内部IP地址和端口号与网络外部标准IP地址和端口号的转换。
访问控制列表(Access Control List，ACL)是一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。
目前，ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。一种ACL技术是利用五元组(源IP、源端口，目的IP、目的端口、协议号)进行索引查找相应的访问动作，该技术生成访问控制表项的过程与NAT相似，也是在路由器收到一个IP包后查询访问控制表进行匹配，如果访问控制表中没有对应的表项，路由器利用该报文的五元组生成与用户访问动作的对应关系表项，添加进访问控制表中，后续数据包就按照该对应关系进行相应的访问动作。
现有技术通过快速转换缓存存储NAT和ACL的转换表项，存在以下缺点首先，只能查看当前正在使用的表项，不能知道NAT及ACL转换的历史信息，也不能知道用户的上下线时间；其次，快速缓存仅存储当前正在使用的表项，在使用完后删除，当网络遭到攻击用户又已经下线时，无法准确判断攻击来源及攻击时间长短。

发明内容
本发明解决的技术问题是提供一种网络地址转换方法和实现访问控制列表的方法，以实现能够记录NAT及ACL转换的历史信息，查看用户上下线时间，当网络遭到攻击用户下线时仍然能够准确判断攻击来源及攻击时间长短，并且实现的工作量小，既简单又方便。
为解决上述问题，本发明的一种网络地址转换方法，包括以下步骤A.当接收到用户数据包后，判断是否存在所述用户数据包进行网络地址转换对应的网络地址转换信息，如果判断结果为是，则执行步骤C，否则执行步骤B；B.生成该用户数据包进行网络地址转换对应的网络地址转换信息，并进行日志记录；C.根据所述用户数据包对应的网络地址转换信息对该用户数据包进行网络地址转换。
其中，步骤B中进行日志记录具体包括B1.采集日志信息；B2.将所述采集的日志信息写入日志缓存。
其中，所述步骤B2之后还包括B3.判断日志缓存的存储空间是否已满，若判断结果为是，则将所述日志缓存的日志信息保存到外置存储设备，然后将所述日志缓存清空，然后执行步骤C；否则，直接执行步骤C。
其中，步骤B3中将所述日志缓存的日志信息保存到外置存储设备为将所述日志缓存的日志信息保存到硬盘的文件中；或将所述日志缓存的日志信息保存到网管中心；或将所述日志缓存的日志信息用文件传输协议客户端的方式上传到文件传输协议服务器上；或将所述日志缓存的日志信息以用户数据报协议或者传输控制协议报文的方式发送到服务器上备份。
其中，所述日志记录包括有用户的上下线时间、用户在局域网内部的私有IP地址、用户在局域网外部的公共IP地址、用户在局域网内部的端口号以及用户在局域网外部的端口号。
其中，步骤B中进行日志记录之前还包括判断是否要进行日志记录，若判断结果为是，则进行日志记录，否则直接执行步骤C。
相应地，本发明公开的一种实现访问控制列表的方法，该方法包括以下步骤a.当接收到用户数据包后，判断是否存在所述用户数据包进行访问控制列表对应的访问控制列表信息，如果判断结果为是，则执行步骤c，否则执行步骤b；b.生成该用户数据包进行访问控制列表对应的访问控制列表信息，并进行日志记录；
c.根据所述用户数据包对应的访问控制列表信息对所述用户数据包进行访问控制列表。
其中，步骤b中进行日志记录具体包括b1.采集日志信息；b2.将所述采集的日志信息写入日志缓存。
其中，所述步骤b2之后还包括b3.判断日志缓存的存储空间是否已满，若判断结果为是，则将所述日志缓存的日志信息保存到外置存储设备，将所述日志缓存清空，然后执行步骤c；否则，直接执行步骤c。
其中，步骤b3中将所述将日志缓存的日志信息保存到外置存储设备为将所述日志缓存的日志信息保存到硬盘的文件中；或将所述日志缓存的日志信息保存到网管中心；或将所述日志缓存的日志信息用文件传输协议客户端的方式上传到文件传输协议服务器上；或将所述日志缓存的日志信息以用户数据包协议或者传输控制协议报文的方式发送到服务器上备份。
其中，所述日志记录包括有用户的上下线时间、用户源IP地址、用户目的IP地址，用户源端口号、用户目的端口号及协议号、用户访问过的IP地址、协议类型。
其中，步骤b中进行日志记录之前还包括判断是否要进行日志记录，若判断结果为是，则进行日志记录，否则直接执行步骤c。
与现有技术相比，本发明具有以下有益效果
本发明在网络地址转换或访问控制列表过程中增加日志记录，通过日志可查看对应的用户网络地址转换或访问控制列表的历史信息，以及查看用户的上下线时间。当网络遭到攻击用户又已经下线时，通过日志可准确判断攻击来源及攻击时间长短。本发明不仅可使用缓存进行日志保存，还可将缓存的日志信息转发到外置存储设备保存，大大降低成本、减少工作量，既快捷又方便。


图1是是现有技术网络地址转换方法的流程示意图；图2是现有技术实现访问控制列表的方法的流程示意图；图3是本发明网络地址转换方法的一种实施例的流程示意图；图4是本发明网络地址转换设备的一种实施例的结构示意图；图5是本发明实现访问控制列表的方法的一种实施例的流程示意图；图6是本发明实现访问控制列表的设备的一种实施例的结构示意图。
具体实施例方式
下面将结合附图对本发明作进一步详细描述。
参考图3，该图是本发明提供的网络地址转换方法的一种实施例的流程示意图。本实施例提供的网络地址转换方法用于实现企业内部自定义的地址与外部网络公共地址间的转换。
根据本实施例，可采用一个网络地址转换表项，用来缓存当前用户的网络地址转换所需的网络地址转换信息，该网络地址转换信息在本实施例里为用户在网络内部对应的源IP地址+端口号与用户在网络外部对应的公共IP地址+端口号间的对应关系，在具体实施中该网络地址转换信息还可以为用户在网络内部对应的源IP地址与用户在网络外部对应的公共IP地址间的对应关系及其他可用于建立用户在网络内部与外部通信关系的地址转换信息表项。在具体实施中，该网络地址转换表项可采用快速缓存方式进行更新，当前用户网络地址转换完成后，即将该用户对应的网络地址转换信息删除，具体流程如下在步骤10，首先，接收用户数据包；然后进入步骤11，提取用户数据包中与该用户数据包进行网络地址转换对应的信息，所述用户数据包中与该用户数据包进行网络地址转换对应的信息一般为用户在网络内部对应的源IP地址+端口号，也可以只是网络内部对应的源IP地址，这里不再赘述。
当提取到数据包中与该用户数据包进行网络地址转换对应的信息后，执行步骤12，判断该提取出来的信息对应的网络地址转换信息是否已经存储在当前网络地址转换表项里，如果判断结果为是则执行步骤14，即按照网络地址转换规则进行网络地址转换，将数据包中网络地址信息转换为网络外部公共IP地址+端口号，如果判断结果为否，则执行步骤13。
步骤13与现有技术一样，即刷新网络地址转换表项，根据用户数据包中与网络地址转换对应的源IP地址+端口号信息生成该用户数据包进行网络地址转换对应的网络地址转换信息。
步骤15-19为本实施例进行日志记录并将该记录转发到外置存储设备进行保存的过程，该过程可以在本实施例中与步骤13同步进行，即在生成该用户数据包进行网络地址转换对应的网络地址转换信息的同时进行日志记录。在具体实施中也可以先生成用户数据包进行网络地址转换对应的网络地址转换信息，然后再进行日志记录，详细流程如下首先执行步骤15，判断是否要进行日志记录，该判断是否要进行日志记录的规则可由用户自行设定，如果判断结果为不进行日志记录，则执行步骤14，如果判断结果为要进行日志记录，则执行步骤16，即采集日志信息，然后执行步骤17，即将采集的日志信息写入日志缓存，本发明提供的日志可用于查看各个用户上网情况，了解网上流量信息，对网络不法行为进行追查等，具体进行日志包括以下几部分首先，记录用户数据包进行网络地址转换的过程信息，以便必要时进行追踪；其次，记录用户的上网记录，即用户的上下线时间、互联网协议(InternetProtocal，IP)地址、媒质访问控制(Media Access Control，MAC)地址、永久虚电路(Permanent Virtual Circiut，PVC)等信息进行保存；再次，用户的上网记录，即对用户所访问过的IP地址、协议类型、端口号等也进行记录保存，方便以后追踪。
在步骤18，判断日志缓存的存储空间是否已满，如果判断结果为是则执行步骤19，如果判断结果为否则执行步骤14。
在步骤19中，将日志缓存中的日志信息转发到外置存储设备保存，具体实现时，所述的外置存储设备可以为网络硬盘、文件服务器、网管中心服务器等，而将所述缓存的日志信息保存到外置存储设备的方法可以为1)将所述日志信息保存到硬盘的文件中；2)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息保存到网管中心；3)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息用FTP CLIENT的方式，上传到某台FTP SERVER上；4)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息以UDP或者TCP报文的方式发送到服务器上备份。
在具体实施时，本发明网络地址转换的方法中也可以不包括步骤15，或者不包括步骤18、19，或者三者均不包括，根据具体情况而定，这里不再赘述。
参考图4，该图是本发明提供的网络地址转换设备的一种实施例的结构示意图。该网络地址转换设备包括有信息提取单元30、地址转换检测单元31、地址转换存储单元32、地址转换执行单元33及日志记录单元34。
具体的，当接收到数据包时，信息提取单元30按照规定提取用户数据包中与该用户数据包进行网络地址转换对应的信息。
地址转换存储单元32，与地址转换检测单元31及地址转换执行单元33分别相连，用于存储用户数据包进行网络地址转换对应的网络地址转换信息，本实施例中即存储当前用户对应的网络地址转换表项。该单元采用快速缓存的方式读取用户对应的网络地址转换信息，当使用完成后立即删除，然后生成新的用户对应的网络地址转换表项。
地址转换执行单元33，与地址转换存储单元32相连，用于根据地址转换存储单元32存储的网络地址转换信息(本实施例中即当前用户网络地址转换表项)执行对用户数据包进行网络地址转换。
地址检测单元31，与信息提取单元30及地址转换存储单元32相连，根据信息提取单元30提取到的信息及地址转换存储单元32中存储的当前网络地址转换表项，判断是否存在该用户数据包进行网络地址转换对应的网络地址转换信息，如果判断结果为是，则触发地址转换执行单元33执行对用户数据包的网络地址转换，如果判断结果为否，则生成该用户数据包进行网络地址转换对应的网络地址转换信息，并由日志记录单元34进行日志记录，将该网络地址转换信息存储到地址转换存储单元32。
需要说明的，本发明的关键在于网络地址转换设备中增加了日志记录单元34，该单元用于根据地址检测单元31的判断结果进行日志记录，即当地址转换检测单元检测结果为是时进行日志记录。其中，一种具体实现，所述日志记录单元具体包括以下单元第一判断处理单元344、日志信息获取单元342、日志缓存单元343、第二判断处理单元341以及日志存储转发单元345。
当地址检测单元31判断结果为否时，第二判断处理单元341进一步判断是否要进行日志记录，判断规则由用户自行设定。如果判断结果为否，触发地址转换执行单元33执行网络地址转换，如果判断结果为是，触发日志信息采集单元342采集日志信息。
日志信息采集单元342一方面可从地址转换存储单元32处采集与对用户进行网络地址转换对应的过程信息，该过程信息包括用户进行网络地址转换对应的网络地址转换信息，另一方面也可获取用户其他需作日志记录的信息，例如，获取的日志信息具体可包括以下几部分首先，记录对用户数据包进行网络地址转换对应的过程信息，以便必要时进行追踪；其次，记录用户的上网记录，即用户的上下线时间、互联网协议(InternetProtocal，简称“IP”)地址、媒质访问控制(Media Access Control，简称“MAC”)地址、永久虚电路(Permanent Virtual Circiut，简称“PVC”)等信息进行保存；再次，用户的上网记录，即对用户所访问过的IP地址、协议类型、端口号等也进行记录保存，方便以后追踪。
而日志缓存单元343，则将日志信息采集单元342采集的日志信息进行缓存。
另外，本实施例中还包括第二判断处理单元344，用于判断日志缓存单元343的存储空间是否已满，如果判断结果为否，则触发地址转换执行单元33执行网络地址转换，如果判断结果为是，触发日志存储转发单元345，然后清空日志缓存单元343。
实际中，本发明所述日志记录单元还可包括
第一判断处理单元344，所述第一判断处理单元344与所述地址转换存储单元32相连，用于判断是否要进行日志记录，并在判断结果为是时指示启动日志记录。
本实施例中日志存储转发单元345，用于将日志缓存单元343中缓存的日志信息转发到外置存储设备。具体实现时，所述的外置存储设备可以为网络硬盘、文件服务器、网管中心服务器等。参考前述说明，将所述缓存的日志信息保存到外置存储设备的方法可以为1)将所述日志信息保存到硬盘的文件中；2)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息保存到网管中心；3)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息用文件传输协议(File Transfe Protocol，FTP)客户端的方式，上传到某台文件传输协议服务器上；4)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息以用户数据包协议(User Datagram Protocol，UDP)或者传输控制协议(Transmission Control Protocol，TCP)报文的方式发送到服务器上备份。
需要说明的，本发明的网络地址转换设备可以不包括第二判断处理单元341、第一判断处理单元344、日志存储转发单元345或者三者均不包括。本发明的网络地址转换设备中日志缓存单元343，第二判断处理单元341及日志存储转发单元可以用一个该网络地址转换设备内置的存储器代替。
另外，在具体实施时本发明的网络地址转换设备可以应用在路由器、交换机等设备中。
参考图5，该图是本发明提供的实现访问控制列表方法的一种实施例的流程示意图。
本实施例提供了一个访问控制列表表项，用来缓存当前用户访问控制列表信息，该访问控制列表信息在本实施例里为用户五元组(源IP、源端口，目的IP、目的端口、协议号)与访问动作的对应关系，在具体实施中该访问控制列表信息还可以为用户其他标识信息与访问动作的对应关系。在具体实施中，该访问控制列表表项采用快速缓存方式进行更新，对当前用户访问控制完成后，即将该用户对应的访问控制列表信息删除，具体包括以下流程在步骤20，首先，接收用户数据包；然后进入步骤21，按照规定提取用户数据包中与该用户数据包进行访问控制列表对应的信息。该规定为根据用户数据包对应的五元组确定对应的访问动作，该提取信息主要为用户数据包对应的五元组(源IP、源端口，目的IP、目的端口、协议号)信息。
当提取到用户数据包中与该用户数据包进行访问控制列表对应的信息后，执行步骤22，判断该提取的信息对应的该用户数据包进行访问控制列表对应的访问控制列表信息是否已包括在当前访问控制列表表项中，如果判断结果为是，则执行步骤24，即按照访问控制列表规则进行对该用户数据包进行访问控制，如果判断结果为否，则执行步骤23。
步骤23，刷新访问控制列表表项，与现有技术一样，主要是根据用户数据包中与访问控制列表对应的五元组信息生成该用户数据包进行访问控制列表对应的访问控制列表信息。
步骤25-29为本实施例进行日志记录并将该记录转发到外置存储设备进行保存的完整过程该过程可以在本实施例中与步骤23同步进行，即在生成该用户数据包进行访问控制列表对应的访问控制列表信息的同时进行日志记录。在具体实施中也可以先生成用户数据包进行网络地址转换对应的网络地址转换信息，然后再进行日志记录，详细流程如下首先在步骤25判断是否要进行日志记录，该判断规则可由用户自行设定，如果判断结果为不进行日志记录，则执行步骤24，如果判断结果为要进行日志记录，则执行步骤26，即采集日志信息，然后执行步骤27，即将采集到的日志信息写入日志缓存，本实施例中记录的日志可用以查看各个用户上网情况，了解网上流量信息，对网络不法行为进行追查等，具体包括以下几部分首先，记录用户数据包进行访问控制列表的过程信息，以便必要时进行追踪；其次，记录用户的上网记录，即用户的上下线时间、互联网协议(InternetProtocal，IP)地址、介质访问控制(Media Access Control，MAC)地址、永久虚电路(Permanent Virtual Circiut，PVC)等信息；再次，用户的上网记录，即对用户所访问过的IP地址、协议类型、端口号等信息，方便以后追踪。
在步骤28，判断日志缓存的存储空间是否已满，如果是则执行步骤29，如果不是则执行步骤24。
在步骤29中，将日志缓存中的日志信息转发到外置存储设备保存，参考前述说明，具体实现时，所述的外置存储设备可以为网络硬盘、文件服务器、网管中心服务器等。其中，将所述缓存的日志信息保存到外置存储设备的方法可以为1)将所述日志信息保存到硬盘的文件中；2)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息保存到网管中心；3)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息用FTP CLIENT的方式，上传到某台FTP SERVER上；4)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息以UDP或者TCP报文的方式发送到服务器上备份。
步骤24，进行访问控制列表控制，由于与现有技术一样，这里不再赘述。
需要说明的，在具体实施时，本发明访问控制列表的方法中也可以不包括步骤25，或者不包括步骤28、29，或者都三者均不包括。
参考图6，该图是本发明提供的访问控制列表设备的一种实施例的结构示意图。该访问控制列表的实现设备包括有信息提取单元40、访问控制列表检测单元41、访问控制列表存储单元42、访问控制列表执行单元43及日志记录单元44。其中，日志记录单元进一步包括有第一判断处理单元444、日志信息采集单元442、日志缓存单元443，第二判断处理单元441及日志存储转发单元445。
具体的，当接收到用户数据包时，信息提取单元40按照规定提取该用户数据包中与该用户数据包进行访问控制列表对应的信息。
访问控制列表存储单元42，与访问控制列表检测单元41及访问控制列表执行单元43分别相连，用于存储当前用户进行访问控制列表对应的访问控制列表信息。该单元采用快速缓存的方式读取用户对应的访问控制列表信息，当使用完成后立即删除，然后生成新的用户对应的访问控制列表表项。
访问控制列表执行单元43，与访问控制列表存储单元42相连，用于根据访问控制列表存储单元42存储的用户进行访问控制列表对应的该用户访问控制列表表项执行对用户的访问控制。
访问控制列表检测单元41，与信息提取单元40及访问控制列表存储单元42相连，根据信息提取单元40提取到的信息及访问控制列表存储单元42中存储的访问控制列表信息，判断是否存在用户数据包进行访问控制列表对应的访问控制列表信息，如果判断结果为是则触发访问控制列表执行单元43执行对用户数据包进行对应的访问控制列表控制，如果判断结果为否，则触发访问控制列表存储单元42生成该用户数据包进行访问控制列表对应的访问控制列表信息，并由日志记录单元44进行日志记录。
同样的，本发明的关键点在访问控制列表设备中增加日志记录单元44，该单元用于根据访问控制列表检测单元41的判断结果进行日志记录，即当访问控制列表检测单元41判断结果为是时进行日志记录。该单元具体包括以下单元第一判断处理单元444、日志信息采集单元442、日志缓存单元443、第二判断处理单元441及日志存储转发单元445。
当访问控制列表检测单元41判断结果为否时，第二判断处理单元441进一步判断是否要进行日志记录，判断规则由用户自行设定；如果判断结果为否，则触发访问控制列表执行单元43执行对该用户数据包进行对应的访问控制列表控制，如果判断结果为是，则触发日志信息采集单元442采集日志信息日志信息采集单元442一方面从访问控制存储单元42采集该用户数据包进行访问控制列表对应的过程信息，另一方面采集用户其他信息作日志记录，获取的日志信息具体包括以下几部分首先，记录对用户数据包进行访问控制列表对应的过程信息，以便必要时进行追踪；其次，记录用户的上网记录，即用户的上下线时间、互联网协议(InternetProtocal，IP)地址、介质访问控制(Media Access Control，MAC)地址、永久虚电路(Permanent Virtual Circiut，PVC)等信息；再次，用户的上网记录，即对用户所访问过的IP地址、协议类型、端口号等信息，方便以后追踪。
日志缓存单元443，用于缓存日志信息采集单元442采集的日志信息。
第一判断处理单元444，用于判断日志缓存单元443的存储空间是否已满，如果判断结果为否，触发访问控制执行单元43执行对数据报的访问控制，如果判断结果为是，触发日志存储转发单元445转发日志缓存单元443的日志信息到外置存储设备，然后清空日志缓存单元443。
日志存储转发单元445，用于将日志缓存单元443中缓存的日志信息转发到外置存储设备。其中，所述的外置存储设备可以为网络硬盘、文件服务器、网管中心服务器等。其中，将所述缓存的日志信息保存到外置存储设备的方法可以为1)将所述日志信息保存到硬盘的文件中；2)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息保存到网管中心；3)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息用FTP CLIENT的方式，上传到某台FTP SERVER上；4)将所述缓存的日志信息保存到外置存储设备的方法为将所述日志信息以UDP或者TCP报文的方式发送到服务器上备份。
在具体实施中，本发明的访问控制列表设备可以不包括第一判断处理单元444、第二判断处理单元441以及日志存储转发单元445，或者三者均不包括。而所述的日志缓存单元443、第二判断处理单元441及日志存储转发单元可以用一个网络地址转换设备内置的存储器代替。
另外，在具体实施时本发明的网络地址转换设备可以应用在路由器、交换机等设备中。
以上所述，仅为本发明较佳的具体实施方式
，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种网络地址转换方法，其特征在于，包括以下步骤A.当接收到用户数据包后，判断是否存在所述用户数据包进行网络地址转换对应的网络地址转换信息，如果判断结果为是，则执行步骤C，否则执行步骤B；B.生成该用户数据包进行网络地址转换对应的网络地址转换信息，并进行日志记录；C.根据所述用户数据包对应的网络地址转换信息对该用户数据包进行网络地址转换。
2.如权利要求1所述的网络地址转换方法，其特征在于，步骤B中进行日志记录具体包括B1.采集日志信息；B2.将所述采集的日志信息写入日志缓存。
3.如权利要求2所述的网络地址转换方法，其特征在于，所述步骤B2之后还包括B3.判断日志缓存的存储空间是否已满，若判断结果为是，则将所述日志缓存的日志信息保存到外置存储设备，然后将所述日志缓存清空，然后执行步骤C；否则，直接执行步骤C。
4.如权利要求3所述的网络地址转换方法，其特征在于，步骤B3中将所述日志缓存的日志信息保存到外置存储设备为将所述日志缓存的日志信息保存到硬盘的文件中；或将所述日志缓存的日志信息保存到网管中心；或将所述日志缓存的日志信息用文件传输协议客户端的方式上传到文件传输协议服务器上；或将所述日志缓存的日志信息以用户数据报协议或者传输控制协议报文的方式发送到服务器上备份。
5.如权利要求1所述的网络地址转换方法，其特征在于，所述日志记录包括有用户的上下线时间、用户在局域网内部的私有IP地址、用户在局域网外部的公共IP地址、用户在局域网内部的端口号以及用户在局域网外部的端口号。
6.如权利要求1-5中任一所述的网络地址转换方法，其特征在于，步骤B中进行日志记录之前还包括判断是否要进行日志记录，若判断结果为是，则进行日志记录，否则直接执行步骤C。
7.一种实现访问控制列表的方法，其特征在于，包括以下步骤a.当接收到用户数据包后，判断是否存在所述用户数据包进行访问控制列表对应的访问控制列表信息，如果判断结果为是，则执行步骤c，否则执行步骤b；b.生成该用户数据包进行访问控制列表对应的访问控制列表信息，并进行日志记录；c.根据所述用户数据包对应的访问控制列表信息对所述用户数据包进行访问控制列表。
8.如权利要求7所述的实现访问控制列表的方法，其特征在于，步骤b中进行日志记录具体包括b1.采集日志信息；b2.将所述采集的日志信息写入日志缓存。
9.如权利要求8所述的实现访问控制列表的方法，其特征在于，所述步骤b2之后还包括b3.判断日志缓存的存储空间是否已满，若判断结果为是，则将所述日志缓存的日志信息保存到外置存储设备，将所述日志缓存清空，然后执行步骤c；否则，直接执行步骤c。
10.如权利要求9所述的实现访问控制列表的方法，其特征在于，步骤b3中将所述将日志缓存的日志信息保存到外置存储设备为将所述日志缓存的日志信息保存到硬盘的文件中；或将所述日志缓存的日志信息保存到网管中心；或将所述日志缓存的日志信息用文件传输协议客户端的方式上传到文件传输协议服务器上；或将所述日志缓存的日志信息以用户数据包协议或者传输控制协议报文的方式发送到服务器上备份。
11.如权利要求7所述的实现访问控制列表的方法，其特征在于，所述日志记录包括有用户的上下线时间、用户源IP地址、用户目的IP地址，用户源端口号、用户目的端口号及协议号、用户访问过的IP地址、协议类型。
12.如权利要求7-11中任一项所述的实现访问控制列表的方法，其特征在于，步骤b中进行日志记录之前还包括判断是否要进行日志记录，若判断结果为是，则进行日志记录，否则直接执行步骤c。
全文摘要
本发明公开了网络地址转换和访问控制列表的方法，其中网络地址转换方法主要包括A.当接收到用户数据包后，判断是否存在所述用户数据包进行网络地址转换对应的网络地址转换信息，如果判断结果为是，则执行步骤C，否则执行步骤B；B.生成该用户数据包进行网络地址转换对应的网络地址转换信息，并进行日志记录；C.根据所述用户数据包对应的网络地址转换信息对该用户数据包进行网络地址转换。本发明通过在网络地址转换和访问控制列表过程中增加日志记录，通过日志可查看用户的网络地址转换和访问控制列表的历史信息，以及查看用户的上下线时间，当网络遭到攻击用户又已经下线时，能准确判断攻击来源及攻击时间长短。
文档编号H04Q11/00GK101079798SQ20061003565
公开日2007年11月28日 申请日期2006年5月26日 优先权日2006年5月26日
发明者查敏 申请人:华为技术有限公司