Документація — як працює наш edge
Без води — лише те, що потрібно, щоб підключити домен і зрозуміти, що відбувається із запитом, коли він доходить до нашого edge.
Початок роботи
Підключення — це зміна DNS, а не міграція. Ваш origin-сервер залишається там, де він є сьогодні.
- Додайте домен у порталі.
- Спрямуйте його DNS-запис (запис
A/AAAAабоCNAME) на адресу edge, яку видасть портал. - Щойно DNS пошириться, живий трафік іде маршрутом
DNS → edge (WAF) → ваш origin. Ми фільтруємо кожен запит і передаємо чисті далі.
Перших клієнтів ми підключаємо вручну, тож якщо у вашій конфігурації є щось незвичне, людина пройде це разом із вами ще до перемикання DNS.
Що покриває OWASP CRS 4.26
На edge працює OWASP Core Rule Set v4.26.0 на рушії Coraza. В одному образі edge постачаються дві збірки Coraza — рушій proxy-wasm і рушій libcoraza FFI — і рушій обирається для кожного маршруту окремо, тож налаштування одного сайту ніколи не зачіпає інший.
CRS — це набір правил з оцінкою аномалій. Замість того щоб одне правило вирішувало «пропустити чи заблокувати», він підсумовує сигнали в межах запиту (підозрілі шляхи, патерни ін’єкцій, аномалії протоколу) і діє за їхньою сумою. Саме це дає змогу ловити поширені класи атак — SQL-ін’єкції, міжсайтовий скриптинг (XSS), обхід каталогів, включення віддалених файлів — і водночас тримати поріг хибних спрацювань під вашим контролем.
Сходинка перевірок
Не кожен підозрілий запит варто одразу блокувати, і не кожен відвідувач має бачити перешкоди. Коли сигнали цього вимагають, edge піднімається сходинкою, а не одразу блокує:
- Proof-of-Work — легке обчислювальне завдання, непомітне для звичайних браузерів, але таке, що коштує автоматизованим клієнтам реального CPU.
- CAPTCHA — інтерактивна перевірка з можливістю підключення (Turnstile або hCaptcha) для випадків, які не вирішує сходинка proof-of-work.
- Web Bot Auth — криптографічна перевірка ботів через підписи HTTP-повідомлень за RFC 9421 із ключами Ed25519, тож легітимний, задекларований бот може довести, хто він, замість того щоб проходити перевірку.
Кожна сходинка вмикається за бажанням і діє лише там, де ви її ввімкнули — стандартний шлях залишається без перешкод.
Сертифікати
TLS ми беремо на себе. Кожному тенанту видається власний сертифікат Let’s Encrypt на
edge через модуль nginx-acme, а оновлення відбувається автоматично. Вам не потрібно
завантажувати приватний ключ чи запускати команду certbot — видача й ротація живуть на
edge, і саме тому приватні ключі LE ніколи його не покидають.
Часті запитання
Чи потрібно переносити хостинг, щоб користуватися Smart WAF?
Ні. Ваш origin-сервер залишається там, де він є. Ви лише змінюєте DNS, щоб трафік спершу проходив через наш edge; ми фільтруємо його й передаємо чисті запити на ваш сервер.
Який набір правил WAF ви використовуєте?
OWASP Core Rule Set v4.26.0 на рушії Coraza. CRS працює за моделлю оцінки аномалій: він підсумовує сигнали в межах запиту, а не спрацьовує на одному правилі, тож рівень хибних спрацювань можна налаштовувати.
Яку затримку додає WAF?
Ми проєктуємо з розрахунком на бюджет ≤5 мс доданої затримки на нормальному трафіку. Це проєктна ціль; бенчмарки на продакшн-обладнанні тривають, і будь-яку виміряну цифру ми публікуємо з позначкою про середовище.
Хто керує TLS-сертифікатом?
Ми. Кожен тенант отримує власний сертифікат Let's Encrypt, який видається й оновлюється автоматично на edge — вам не потрібно завантажувати чи змінювати ключі вручну.