防火墙关注到Digi Remote Manager的出站EDP连接

先决条件:

本文假设您已经阅读了针对您的特定Digi产品的可用配置/故障排除指南，并确保您的网关或设备已正确配置数码远程管理器(又名Digi RM)连接。

防火墙的问题:

防火墙(以及维护它们的IT安全人员)通常关心的是保护一个位置的局域网免受未经授权的使用——既防止来自外部网络的流量，也防止来自局域网内部的流量向外传输。

具有中央管理功能的Digi产品属于后一类，因为Digi设备创建了一个出站TCP套接字连接到数码远程管理器服务器。这电子数据处理（简易设备协议套接字连接是一条隧道，通过它，数据从你的Digi设备被推送到我们的云服务器，这样数据就可以从世界任何地方访问。

下面的文章描述了:

• 当Digi路由器、网关或其他支持edp的设备(通过Digi Cloud连接器)与Digi Remote Manager建立中央管理连接时使用的IP套接字连接。
• 如何使用给定的与Digi rm相关的DNS名称确定正在使用的IP地址。

注意:强烈建议使用DNS服务。如果不允许或不可能从您的网络访问DNS服务，则设备的远程连接地址将需要使用IP地址，而不是DNS名称本身(请参阅下面的出站防火墙规则需要哪些IP地址)?了解更多详情)。

可能需要防火墙规则的位置:

那些使用Digi设备试图从具有严格出站防火墙规则的位置连接到Digi Remote Manager的用户将特别需要本文中的指导。这种类型的网络安全环境的一些可能的例子包括:政府办公室/建筑物和机构，学校，大学和一些企业(特别是从事政府合同工作的企业)。

有能力的设备使用哪个网络端口连接到Digi Remote Manager?

默认情况下，您的具有中央管理功能的Digi路由器、网关或设备用于连接Digi RM的TCP和/或UDP端口将部分取决于您的设备的年龄/固件、设备配置和型号。

TCP端口3197:来自较旧的Digi产品(或者如果产品使用较旧的固件)的出站EDP/非ssl(非安全)套接字连接，它可能仍然被配置为使用未加密的套接字连接到Digi Remote Manager。

注意:如果可能的话，旧的Digi产品的固件应该更新到最新的固件版本，以便在可能的情况下使用SSL套接字连接到Digi Remote Manager(见下文)。

TCP端口3199:来自Digi路由器、网关或其他具有较新固件的Digi设备的出站EDP/SSL(安全)套接字连接，配置为创建到Digi RM的安全SSL套接字连接。所有基于linux的网关都需要SSL套接字连接到Digi RM，例如我们的DAL OS产品和XBee网关。如果将Digi Remote Manager帐户配置为接受SSL连接，则可能还需要SSL套接字连接只有．

UDP端口53DNS(域名服务)识别，即将Digi RM服务器名的名称(例如:my.devicecloud.com或edp12.devicecloud.com)转换为所需的IP。

UDP端口123:所有基于linux的Digi设备都需要出站套接字连接到NTP(时间)服务器进行NTP时间管理(除非允许/配置使用备用时钟源)。

关于设备上准确日期/时间的重要注意事项:

通过SSL套接字连接到Digi Remote Manager的设备需要保持准确的日期/时间，以便生成到Digi Remote Manager的安全(SSL) TCP套接字连接，否则Digi RM将拒绝连接。例如，仍然使用Unix纪元或基于固件发布日期的日期/时间戳的设备将无法连接。

请注意:如果你在你的Digi远程管理器帐户中添加了一个有功能的Digi设备(但该设备从未显示在连接状态)，检查以确保设备上保存的日期/时间是当前的，以满足上述要求。

我的Digi设备应该连接到哪个Digi Remote Manager服务器?

一般来说，你应该这样做不将设备配置为使用非默认的远程管理主机、URL或服务器名称。允许设备根据固件级别和该固件的安全功能选择正确的服务器名称。
如果您已经使用显式名称或IP地址配置了固件，请考虑删除该配置并测试设备与my.devicecloud.com或edp12.devicecloud.com的连接。

让设备自动配置本身并不总是可能的，因此您可能需要在这些服务器名称之间进行选择:

• edp12.devicecloud.com -适用于:
  • 完全支持TLS 1.2
  • 不应该退回到不太安全的连接吗
  • 支持设备端证书协商。
  • 基于DAL操作系统的设备，固件版本为22.2或更新。
• my.devicecloud.com—适用于具有较旧固件的设备或尚未更新与edp12.devicecloud.com相关的安全增强的设备

edp12.devicecloud.com:

设备类型应该使用edp12.devicecloud.com以获得最安全的连接:

• 任何运行固件版本22.2的Digi加速Linux操作系统的设备。X或更高版本应使用edp12.devicecloud.com。
• 具体来说，以下列表中运行固件22.2的任何设备。x或更高版本，并且配置为使用远程管理器进行集中管理，应该使用edp12.devicecloud.com作为远程管理器URL。注意，由于撰写本文时可能会出现新的Digi Accelerated Linux设备类型，因此包括这些设备。
  • AcceleratedConcepts rm 5400 -
  • AcceleratedConcepts rm 5401 -
  • AcceleratedConcepts 6300 -残雪
  • AcceleratedConcepts 6310 dx
  • 6330 - mx AcceleratedConcepts
  • 6335 - mx AcceleratedConcepts
  • 老AcceleratedConcepts 6350 -
  • 老AcceleratedConcepts 6355 -
  • Digi AnywhereUSB 2 Plus
  • Digi AnywhereUSB 2 Plus工业
  • 数码无处不在usb 8 Plus
  • Digi AnywhereUSB 8W Plus
  • Digi AnywhereUSB 24 Plus
  • Digi AnywhereUSB 24W Plus
  • 数码连接EZ-Mini
  • 数码连接EZ2
  • 数码连接EZ4
  • 数码网络ConnectIT-Mini
  • 数码网络ConnectIT4
  • 数码网络ConnectIT16
  • 数码网络ConnectIT48
  • 数码网络EX12
  • 数码网络EX12-PR
  • 数码网络EX15
  • 数码网络EX15-PR
  • 数码网络EX15W
  • 数码网络EX15W-PR
  • 数码网络EX50
  • 数码网络IX10
  • 数码网络IX14
  • 数码网络IX15
  • 数码网络IX20
  • 数码网络IX20-PR
  • 数码网络IX20W
  • 数码网络IX20W-PR
  • 数码网络IX30
  • 数码网络IX30-PR
  • 数码网络LR54
  • 数码网络LR54W
  • 数码网络TX54-Dual-Cellular
  • 数码网络TX54-Dual-Cellular-PR
  • 数码网络TX54-Dual-Wi-Fi
  • 数码网络TX54-Single-Cellular
  • 数码网络TX54-Single-Cellular-PR
  • 数码网络TX64
  • 数码网络TX64-PR
  • 数码网络TX64-Rail-Single-Cellular
  • 数码网络TX64-Rail-Single-Cellular-PR

my.devicecloud.com:

不在上面列表中的设备通常应该使用my.devicecloud.com。

已弃用的DNS名称:

以下主机名已弃用，不应再使用。

• devicecloud.digi.com
• devicecloud-uk.digi.com

删除的DNS名称:

以下主机名将被删除，并且不能再使用:

• * my.idigi.com、app.idigi.com、my.idigi.com英国等)
• * .etherios。* (login.etherios.com, login.etherios.co.)英国等)

出站防火墙规则需要什么IP地址?

确定IP地址的最佳方法是网路资讯查询您的设备将连接到的远程管理服务器的DNS名称。

在默认情况下，现代Digi设备配置了正确的Central Management服务器地址。不应更改Digi Remote Manager服务器的DNS名称，否则可能会影响设备的连接特性(如安全性)。

截至本文日期(2022年2月22日)，以下是我的Windows 10命令行(开始-运行- CMD)提示符在对我们的各种远程管理和NTP环服务器进行nslookup时的样子:

Digi Remote Manager设备连接地址:

您的设备将使用其中一种my.devicecloud.com或edp12.devicecloud.com，取决于固件类型和版本。与其使用以下IP地址，不如在配置时验证DNS名称的IP地址，以防DNS名称解析到的IP地址自本文发布以来发生了变化。

尽可能使用DNS名称：

C:\> nslookup my.devicecloud.com
名称:my.devicecloud.com
地址:52.73.23.137

C:\> nslookup edp12.devicecloud.com
名称:edp12.devicecloud.com
地址:52.73.118.175


以下过去的设备云连接地址可能仍在设备上使用。使用以下DNS名称的设备应更新为使用my.devicecloud.com或edp12.devicecloud.com(如果设备固件完全支持TLS 1.2)，然后在新地址重新连接到服务器:

• devicecloud.digi.com
• login.etherios.com
• my.idigi.com
• app.idigi.com
• devicecloud-uk.digi.com
• login.etherios.co.uk
• my.idigi.co.uk

Digi主NTP时间服务器环地址:

C: \ >网路资讯查询time.devicecloud.com
名称:time.devicecloud.com
地址:35.164.164.69,52.2.40.158

用于池使用的备用/三级NTP时间服务器地址:

C: \ >网路资讯查询0. time.devicecloud.com
名称:time.devicecloud.com 0.
地址:52.2.40.158

C: \ >网路资讯查询1. time.devicecloud.com
名称:time.devicecloud.com 1.
地址:35.164.164.69

已弃用的NTP/时间服务器地址:

以下DNS名称可能仍在设备上使用(所有设备都应更新为在其配置中使用time.devicecloud.com):

• time.digi.com
• time.etherios.com
• time.etherios.co.uk
• 0. idigi.pool.ntp.org
• 1. idigi.pool.ntp.org
• 2. idigi.pool.ntp.org

制定防火墙规则:

如果DNS名称的IP地址发生了变化(在本文更新之前)，可以使用Windows CLI命令来确定我们服务器的IP地址:

网路资讯查询<服务器DNS名称>

“名称”和“地址”字段将是列出的远程管理或时间服务器的DNS名称和IP地址。您的防火墙规则需要允许访问基于网关的设备管理配置所使用的适当的网络端口，如果使用NTP时间管理，还需要允许访问UDP端口123。

关于不推荐的DNS名称的重要注意事项：

如果您的设备配置为使用*.idigi.com或etherios.com DNS名称连接到Digi远程管理器，则应重新配置为使用my.devicecloud.com或edp12.devicecloud.com(如果设备固件完全支持TLS 1.2)。您需要为设备配置中使用的所有IP地址/端口、所有远程管理和时间DNS服务器名称创建防火墙规则。