Роль приложения в предотвращении DDOS

У меня есть приложение, которое планируется предоставить интернет-клиентам через обратный прокси-сервер, развернутый в DMZ. Я рекомендовал при развертывании использовать WAF/Cloudflare вместе с этим для защиты приложения.

Однако я не уверен, насколько UTM/WAF/Cloudflare и т. д. способны определить, нужно ли приложению что-то делать, чтобы гарантировать его доступность.

Например,

Я мог бы представить себе DDOS-атаку, запускаемую с использованием медленных клиентов, на которые распространяются ограничения скорости DOS, что

• продолжает запрашивать незащищенные ресурсы приложения (которые нельзя кэшировать)
• продолжает безуспешно отправлять запросы REST API для доступа к нашему приложению, но в больших количествах может привести к сбою приложения
• запрашивать статические ресурсы с уникальным шаблоном, чтобы кэш прокси был экранирован и попадал в приложение и т. д.

Может ли WAF/UTM/Cloudflare разобраться с этими плохими клиентами, заметив эти шаблоны доступа, или приложению нужно будет что-то с этим делать (Fail2Ban и т. д.?)