L7 Security:
Cloudflare Architecture

Теория

Базовая модель

Cloudflare — anycast edge-сеть:

• клиент подключается к anycast IP;
• BGP маршрутизирует трафик в ближайший по AS-path PoP (не всегда географически ближайший);
• обработка на edge до origin.

---

Ruleset Engine: фазы обработки

Cloudflare Ruleset Engine выполняет правила по documented phases (phases-list); точный набор phases зависит от продукта и плана:

1. http_request_sanitize — нормализация
2. http_request_transform — Transform Rules
3. http_request_origin — Origin Rules
4. http_request_dynamic_redirect / http_request_redirect
5. http_request_firewall_custom — Custom Rules (WAF)
6. http_request_firewall_managed — Managed Rulesets, OWASP CRS
7. http_ratelimit — Rate Limiting Rules
8. http_request_cache_settings — Cache Rules
9. http_request_late_transform
10. origin fetch / cache hit

Источник: developers.cloudflare.com/ruleset-engine/reference/phases-list/. Для типового HTTP request path WAF/rate limiting phases идут до origin fetch; cache behavior зависит от cache rules и результата edge lookup.

---

Архитектурные преимущества

• anycast снижает локальную мощность volumetric DDoS;
• edge-фильтрация уменьшает прямую экспозицию origin;
• кэш разгружает backend под нагрузкой и при flash crowd.

---

Что нужно уметь объяснить

Почему anycast помогает против DDoS?

Поток атаки может распределяться по PoP, поэтому локальная концентрация снижается. Равномерность не гарантируется: её задаёт BGP-топология и policy провайдеров.

Почему edge-first processing экономит ресурс?

Дешёвые фильтры выполняются до origin: меньше мусора → меньше CPU/DB pressure.

Почему cache важен в security-контуре?

При всплеске cache hit ratio снижает RPS на origin; cache poisoning при этом — отдельный риск, требует контроля cache key.

---

Практика

1. Проверить anycast-вход

dig +short example.com
traceroute example.com

2. Проверить edge-обработку

• включить WAF/rate limiting rule;
• посмотреть события в security analytics;
• сравнить origin RPS до/после.

3. Проверить cache-impact

Отследить:

• cache hit ratio;
• origin egress;
• origin latency.

4. Проверить failover-поведение

Смоделировать частичную недоступность origin и посмотреть, как меняются ответы на edge (stale/cache/error path).

---

Ссылки

• Cloudflare: Anycast network
• Cloudflare: Ruleset Engine phases
• Cloudflare: Request rate characteristics
• Cloudflare: Routing may not be geographically closest