Doku — so funktioniert der Edge
Kein Beiwerk — nur das, was Sie brauchen, um eine Domain anzubinden und zu verstehen, was mit einer Anfrage passiert, sobald sie unseren Edge erreicht.
Erste Schritte
Die Anbindung ist eine DNS-Änderung, keine Migration. Ihr Origin-Server bleibt genau dort, wo er heute ist.
- Fügen Sie Ihre Domain im Portal hinzu.
- Zeigen Sie ihren DNS-Eintrag (einen
A/AAAA-Eintrag oder einenCNAME) auf die Edge-Adresse, die das Portal Ihnen nennt. - Sobald das DNS propagiert ist, läuft der Live-Verkehr über
DNS → Edge (WAF) → Ihr Origin. Wir filtern jede Anfrage und leiten die sauberen weiter.
Wir binden frühe Kunden manuell an — wenn an Ihrem Setup etwas ungewöhnlich ist, geht ein Mensch es mit Ihnen durch, bevor Sie das DNS umstellen.
Was OWASP CRS 4.26 abdeckt
Der Edge führt das OWASP Core Rule Set v4.26.0 auf der Coraza-Engine aus. Zwei Coraza-Builds liegen in einem Edge-Image — eine proxy-wasm-Engine und eine libcoraza-FFI-Engine — und die Engine wird pro Route gewählt, sodass das Tuning einer Site nie eine andere stört.
CRS ist ein Regelwerk mit Anomalie-Scoring. Statt dass eine einzelne Regel über Durchlassen oder Blockieren entscheidet, summiert es Signale über die Anfrage hinweg (verdächtige Pfade, Injection-Muster, Protokoll-Anomalien) und handelt nach der Summe. Genau das macht die gängigen Angriffsklassen — SQL-Injection, Cross-Site-Scripting, Path Traversal, Remote-File-Inclusion — greifbar und hält die Fehlalarmschwelle einstellbar, statt dass Sie gegen sie ankämpfen.
Die Challenge-Leiter
Nicht jede verdächtige Anfrage sollte sofort blockiert werden, und nicht jeder Besucher sollte Reibung erleben. Wenn die Signale es rechtfertigen, eskaliert der Edge über eine Leiter, statt direkt zu blockieren:
- Proof-of-Work — eine leichte Rechenaufgabe, für normale Browser unsichtbar, die automatisierte Clients echte CPU kostet.
- CAPTCHA — eine einbindbare interaktive Prüfung (Turnstile oder hCaptcha) für Fälle, die die Proof-of-Work-Stufe nicht klärt.
- Web Bot Auth — kryptografische Bot-Verifikation über HTTP-Message-Signatures nach RFC 9421 mit Ed25519-Schlüsseln, sodass ein legitimer, deklarierter Bot beweisen kann, wer er ist, statt geprüft zu werden.
Jede Stufe ist optional und greift nur dort, wo Sie sie aktivieren — der Standardpfad bleibt reibungsfrei.
Zertifikate
TLS übernehmen wir. Jeder Tenant erhält am Edge über das nginx-acme-Modul sein eigenes
Let’s Encrypt-Zertifikat, und die Erneuerung erfolgt automatisch. Sie laden nie einen
privaten Schlüssel hoch und führen keinen certbot-Befehl aus — Ausstellung und Rotation
leben am Edge, weshalb LE-Privatschlüssel ihn auch nie verlassen.
Häufige Fragen
Muss ich mein Hosting umziehen, um Smart WAF zu nutzen?
Nein. Ihr Origin-Server bleibt, wo er ist. Sie ändern nur das DNS, damit der Verkehr zuerst über unseren Edge läuft; wir filtern ihn und leiten die sauberen Anfragen an Ihren bestehenden Server weiter.
Welches WAF-Regelwerk setzen Sie ein?
OWASP Core Rule Set v4.26.0, ausgeführt auf der Coraza-Engine. CRS arbeitet mit Anomalie-Scoring: Es summiert Signale über eine Anfrage hinweg, statt auf einer einzelnen Regel auszulösen, wodurch die Fehlalarmschwelle einstellbar bleibt.
Wie viel Latenz fügt die WAF hinzu?
Wir entwickeln gegen ein Budget von ≤5 ms zusätzlicher Latenz bei normalem Verkehr. Das ist ein Design-Ziel; Benchmarks auf Produktions-Hardware laufen noch, und jede gemessene Zahl, die wir veröffentlichen, ist mit ihrer Umgebung gekennzeichnet.
Wer verwaltet das TLS-Zertifikat?
Wir. Jeder Tenant erhält sein eigenes Let's-Encrypt-Zertifikat, das am Edge automatisch ausgestellt und erneuert wird — Sie laden keine Schlüssel hoch und rotieren sie nicht selbst.