L7 Security: Edge Filtering

⚙️ Теория

🔍 Что фильтруется на edge

Базовые классы фильтрации до origin:

IP reputation / IP allow-deny policies;
ASN filtering;
Geo filtering;
Header anomalies (обязательные/невалидные/подозрительные заголовки);
Bot detection и challenge.

В Cloudflare это реализуется через custom rules, managed products и bot signals.

⚡ Принцип fail-fast

Чем раньше отбрасывается вредный трафик, тем дешевле защита.

Практический порядок:

L3 filter;
L4 filter;
лёгкие L7 эвристики;
глубокая инспекция там, где она действительно нужна.

Это архитектурный принцип, который следует из реальной стоимости обработки каждого следующего слоя.

🤖 Bot Management: сигналы

Сигналы, которые реально применяются в edge-моделях:

TLS fingerprints (JA3/JA4);
browser/JS behavior (challenge/js detections);
бот-скор и дополнительные classifier signals.

Важная инженерная мысль: один сигнал ненадёжен; обычно работает ансамбль сигналов + policy.

❓ Что нужно уметь объяснить

Почему edge filtering дешевле origin filtering?

Потому что ранний drop экономит самые дорогие ресурсы: приложение, БД, внутренние очереди, upstream-пулы.

Почему «только IP blocklist» недостаточно?

Современный трафик распределён по облакам/NAT/прокси; эффективная защита требует сочетания IP/ASN/Geo, поведенческих и протокольных сигналов.

Где возможен bottleneck в edge filtering?

В чрезмерно тяжёлых правилах и каскаде глубокой инспекции на каждый запрос. Поэтому нужен приоритет дешёвых тестов и selective deep checks.

🧪 Практика

1. Введите простые fail-fast правила

deny/managed actions по известным плохим источникам;
ASN/Geo ограничения для админ/API surface.

2. Добавьте lightweight header checks

Примерно:

обязательные заголовки для конкретных endpoint;
блок аномальных/невозможных комбинаций.

3. Включите bot policy ступенчато

сначала log;
затем challenge;
затем selective block для уверенных сигналов.

4. Замерьте цену фильтрации

Сравнивайте до/после:

edge CPU;
origin RPS;
false positives;
p95/p99.

🧾 Вывод

Edge filtering эффективен, когда действует как многоуровневый fail-fast pipeline.
Дешёвые проверки должны отсеивать максимум мусора, а дорогая инспекция применяется избирательно. Это единственный устойчивый путь при больших объёмах L7-трафика.