釘釘作為一個免費智能移動辦公平臺，受到很多公司的歡迎。但是對于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來說，如何開放釘釘一直是一個難題。之前釘小密給了個局域網(wǎng)需要白名單的一些IP段，參見：https://tieba.baidu.com/p/4358596988 ，但是根據(jù)我們的測試，文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘?shù)墓倬W(wǎng)已經(jīng)找不到官方的相關(guān)文檔了。

為了放行釘釘，我們技術(shù)人員做了相關(guān)測試。本文，我就來介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^https訪問釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘和TLS這三個協(xié)議。如下圖：

上圖中，我們在“應(yīng)用過濾”中添加了一條策略禁止除“TLS、釘釘、DNS”外的所有應(yīng)用。這樣配置后，客戶機就只能打開https網(wǎng)站、釘釘。如果您不允許客戶機訪問除釘釘外的其他https網(wǎng)站，那么還需要配置“網(wǎng)頁過濾”的“網(wǎng)站白名單”。如下圖：

啟用“網(wǎng)站白名單”，并且把"*.dingtalk.com","*.alicdn.com"，"*.dingtalkapps.com", "*.aliyuncs.com"加到白名單里面即可。白名單開啟就會禁止白名單以外的其他所有站點。

經(jīng)過上述配置后，就可以實現(xiàn)讓客戶機只允許使用釘釘，禁止其他一切網(wǎng)絡(luò)行為。既要保證釘釘?shù)恼Ｊ褂茫忠蛊渌W(wǎng)絡(luò)行為。這樣的需求，必須要專業(yè)的上網(wǎng)行為管理才可以實現(xiàn)。