钉钉作为一个免费智能移动办公平台,受到很多公司的欢迎。但是对于网络权限设置比较严格的局域网来说,如何开放钉钉一直是一个难题。之前钉小密给了个局域网需要白名单的一些IP段,参见:https://tieba.baidu.com/p/4358596988 ,但是根据我们的测试,文中的IP段并不能覆盖钉钉需要的IP范围。而且在钉钉的官网已经找不到官方的相关文档了。
为了放行钉钉,我们技术人员做了相关测试。本文,我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站,另外还有自己的通讯协议(端口443)。所以要放行钉钉,我们需要放行DNS、钉钉和TLS这三个协议。如下图:
上图中,我们在“应用过滤”中添加了一条策略禁止除“TLS、钉钉、DNS”外的所有应用。这样配置后,客户机就只能打开https网站、钉钉。如果您不允许客户机访问除钉钉外的其他https网站,那么还需要配置“网页过滤”的“网站白名单”。如下图:
启用“网站白名单”,并且把"*.dingtalk.com","*.alicdn.com","*.dingtalkapps.com", "*.aliyuncs.com"加到白名单里面即可。白名单开启就会禁止白名单以外的其他所有站点。
经过上述配置后,就可以实现让客户机只允许使用钉钉,禁止其他一切网络行为。既要保证钉钉的正常使用,又要禁止其他网络行为。这样的需求,必须要专业的上网行为管理才可以实现。
