钉钉的使用过程中必须连接外网,对于网络权限设置比较严格的局域网来说,如何开放钉钉一直是一个难题。由于钉钉官方已经不再公布服务器的段,所以不能基于IP范围来做管控。必须要有专业的上网行为管理产品,才可以准确识别出钉钉的流量并且加以管控。

本文,我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站,另外还有自己的通讯协议(端口443)。所以要放行钉钉,我们需要放行DNS、钉钉这两个应用协议,并且允许钉钉的相关网站。具体的配置步骤如下:

1. 屏蔽所有网络应用

首先在应用过滤中,屏蔽所有的网络应用。

如何只允许员工电脑上钉钉?同时屏蔽其他网络行为_第1张图片

2. 允许钉钉、DNS、钉钉文件传输

在例外设置中,添加例外规则,把”钉钉、DNS、钉钉文件传输“加到“例外的应用”里面。

如何只允许员工电脑上钉钉?同时屏蔽其他网络行为_第2张图片

如何只允许员工电脑上钉钉?同时屏蔽其他网络行为_第3张图片


3. 允许钉钉的相关网站

除了钉钉的应用协议外,还需要把钉钉的相关网站"*.dingtalk.com","*.alicdn.com","*.dingtalkapps.com", "*.aliyuncs.com"加入到例外。如下图:

如何只允许员工电脑上钉钉?同时屏蔽其他网络行为_第4张图片


“例外设置”的优先级是最高的。经过上述配置后,WFilter会首先放行钉钉的应用和钉钉的相关网站,其余的网络通讯会一律被“应用过滤”的策略屏蔽掉。从而达到了只允许使用钉钉的管控效果。