如何只允许员工电脑上钉钉？同时屏蔽其他网络行为

钉钉的使用过程中必须连接外网，对于网络权限设置比较严格的局域网来说，如何开放钉钉一直是一个难题。由于钉钉官方已经不再公布服务器的段，所以不能基于IP范围来做管控。必须要有专业的上网行为管理产品，才可以准确识别出钉钉的流量并且加以管控。

本文，我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站，另外还有自己的通讯协议（端口443）。所以要放行钉钉，我们需要放行DNS、钉钉这两个应用协议，并且允许钉钉的相关网站。具体的配置步骤如下：

1. 屏蔽所有网络应用

首先在应用过滤中，屏蔽所有的网络应用。

2. 允许钉钉、DNS、钉钉文件传输

在例外设置中，添加例外规则，把”钉钉、DNS、钉钉文件传输“加到“例外的应用”里面。

3. 允许钉钉的相关网站

除了钉钉的应用协议外，还需要把钉钉的相关网站"*.dingtalk.com","*.alicdn.com"，"*.dingtalkapps.com", "*.aliyuncs.com"加入到例外。如下图：

“例外设置”的优先级是最高的。经过上述配置后，WFilter会首先放行钉钉的应用和钉钉的相关网站，其余的网络通讯会一律被“应用过滤”的策略屏蔽掉。从而达到了只允许使用钉钉的管控效果。