釘釘作為一個(gè)免費(fèi)智能移動(dòng)辦公平臺(tái)，受到很多公司的歡迎。但是對(duì)于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來(lái)說(shuō)，如何開(kāi)放釘釘一直是一個(gè)難題。之前釘小密給了個(gè)局域網(wǎng)需要白名單的一些IP段，參見(jiàn)：https://tieba.baidu.com/p/4358596988 ，但是根據(jù)我們的測(cè)試，文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘?shù)墓倬W(wǎng)已經(jīng)找不到官方的相關(guān)文檔了。

為了放行釘釘，我們技術(shù)人員做了相關(guān)測(cè)試。本文，我就來(lái)介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^(guò)https訪(fǎng)問(wèn)釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘和TLS這三個(gè)協(xié)議。如下圖：

上圖中，我們?cè)凇皯?yīng)用過(guò)濾”中添加了一條策略禁止除“TLS、釘釘、DNS”外的所有應(yīng)用。這樣配置后，客戶(hù)機(jī)就只能打開(kāi)https網(wǎng)站、釘釘。如果您不允許客戶(hù)機(jī)訪(fǎng)問(wèn)除釘釘外的其他https網(wǎng)站，那么還需要配置“網(wǎng)頁(yè)過(guò)濾”的“網(wǎng)站白名單”。如下圖：

啟用“網(wǎng)站白名單”，并且把"*.dingtalk.com","*.alicdn.com"，"*.dingtalkapps.com", "*.aliyuncs.com"加到白名單里面即可。白名單開(kāi)啟就會(huì)禁止白名單以外的其他所有站點(diǎn)。

經(jīng)過(guò)上述配置后，就可以實(shí)現(xiàn)讓客戶(hù)機(jī)只允許使用釘釘，禁止其他一切網(wǎng)絡(luò)行為。既要保證釘釘?shù)恼Ｊ褂茫忠蛊渌W(wǎng)絡(luò)行為。這樣的需求，必須要專(zhuān)業(yè)的上網(wǎng)行為管理才可以實(shí)現(xiàn)。