釘釘(DingTalk)是中國領先的智能移動辦公平臺，用于商務溝通和工作協同。越來越多企業采用釘釘來進行辦公自動化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發和接收文件，從而威脅到網絡內部的信息安全。近來很多客戶提出需要屏蔽釘釘的外發文件功能，所以我們做了針對性的測試。下文是釘釘外發文件的協議詳解和如何屏蔽的方案。

1. 釘釘外發文件的協議分析

通過多次的抓包分析，釘釘PC版的外發文件和手機版的外發文件采用的不同的方式。

釘釘PC版的外發文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個網站進行轉發。抓包分析如下圖：

但是釘釘的手機版本發送文件時，卻共用了釘釘登錄和發送信息的連接。如圖：

換句話說，PC版本的釘釘外發文件可以單獨禁止（不禁止釘釘登錄和其他功能）；但是手機版的釘釘外發文件不能單獨屏蔽掉。下面我們再看下具體的實現步驟。

2. 屏蔽釘釘PC版的外發文件功能

只要在應用過濾中把“釘釘文件（PC）”設置為“禁止”，就可以屏蔽釘釘PC版的外發文件功能。如圖：

配置成禁止后，釘釘的外發文件就會被屏蔽掉。聊天消息、圖片仍然正常使用。

文檔中的文件上傳會全部被禁止掉。

3. 屏蔽手機釘釘的上傳功能

由于手機釘釘的文件上傳和聊天走的是同一個連接，所以不能用單獨的應用來禁止了。這里我介紹下WFilter NGF（WSG網關）的一個非常強大的功能：疑似上傳的屏蔽。如圖：

這個功能會檢測每個連接的上傳數據，一旦上傳數據超過閾值，就會把該連接斷開。這個功能剛好可以用在手機釘釘上，如果只是正常的聊天消息發送，那么由于數據量比較小可以正常使用。但是一旦要上傳附件，就會被屏蔽掉。效果如下圖：

WSG里面的封堵記錄如圖：

以上就是WSG（WFilter NGF）對釘釘外發文件的管控方案，可以有效的管控釘釘文件傳輸從而避免信息泄露。