釘釘的使用過程中必須連接外網,對於網絡權限設置比較嚴格的局域網來說,如何開放釘釘一直是一個難題。由於釘釘官方已經不再公佈服務器的段,所以不能基於IP範圍來做管控。必須要有專業的上網行爲管理產品,纔可以準確識別出釘釘的流量並且加以管控。
本文,我就來介紹下在WSG上網行爲管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站,另外還有自己的通訊協議(端口443)。所以要放行釘釘,我們需要放行DNS、釘釘這兩個應用協議,並且允許釘釘的相關網站。具體的配置步驟如下:
1. 屏蔽所有網絡應用
首先在應用過濾中,屏蔽所有的網絡應用。
2. 允許釘釘、DNS、釘釘文件傳輸
在例外設置中,添加例外規則,把”釘釘、DNS、釘釘文件傳輸“加到“例外的應用”裏面。
3. 允許釘釘的相關網站
除了釘釘的應用協議外,還需要把釘釘的相關網站"*.dingtalk.com","*.alicdn.com","*.dingtalkapps.com", "*.aliyuncs.com"加入到例外。如下圖:
“例外設置”的優先級是最高的。經過上述配置後,WFilter會首先放行釘釘的應用和釘釘的相關網站,其餘的網絡通訊會一律被“應用過濾”的策略屏蔽掉。從而達到了只允許使用釘釘的管控效果。