в варианте с "чёрным" списком сайтов можно обойтись без DPI, блокированием через DNS + blackhole "плохих" IP, чтобы не работали literal URL.
все остальные заковыристые варианты можно реализовать в две ступени, первая ступень - сабскрайбер светится запросом в DNS плохого или допустим серого сайта, вторая ступень - спустя порог срабатывания сабскрайбер заворачивается на DPI, и там уже по полному URL фильтруется.Для такого случая большой capacity не надо.
вопрос в том что это можно обойти не рассматривается, т.к. мы формально блокируем для тех самых законоисполнителей.