釘釘作為一個免費智能移動辦公平臺，受到很多公司的歡迎。但是對于網絡權限設置比較嚴格的局域網來說，如何開放釘釘一直是一個難題。之前釘小密給了個局域網需要白名單的一些IP段，參見：https://tieba.baidu.com/p/4358596988 ，但是根據我們的測試，文中的IP段并不能覆蓋釘釘需要的IP范圍。而且在釘釘的官網已經找不到官方的相關文檔了。

為了放行釘釘，我們技術人員做了相關測試。本文，我就來介紹下在WSG上網行為管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站，另外還有自己的通訊協議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘和TLS這三個協議。如下圖：

上圖中，我們在“應用過濾”中添加了一條策略禁止除“TLS、釘釘、DNS”外的所有應用。這樣配置后，客戶機就只能打開https網站、釘釘。如果您不允許客戶機訪問除釘釘外的其他https網站，那么還需要配置“網頁過濾”的“網站白名單”。如下圖：

啟用“網站白名單”，并且把"*.dingtalk.com","*.alicdn.com"，"*.dingtalkapps.com", "*.aliyuncs.com"加到白名單里面即可。白名單開啟就會禁止白名單以外的其他所有站點。

經過上述配置后，就可以實現讓客戶機只允許使用釘釘，禁止其他一切網絡行為。既要保證釘釘的正常使用，又要禁止其他網絡行為。這樣的需求，必須要專業的上網行為管理才可以實現。