

**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理车身检查的注意事项 AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

车身检查大小限制是 AWS WAF 可以检查的最大请求主体尺寸。当 Web 请求正文大于限制时，底层主机服务仅将限制范围内的内容转发给以 AWS WAF 供检查。
+ 对于 Application Load Balancer 和 AWS AppSync，限制固定为 8 KB（8,192 字节）。
+ 对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access，默认限制为 16 KB（16,384 字节），您可以将任何资源类型的限制以 16 KB 为增量增加，最多 64 KB。设置选项为 16 KB、32 KB、48 KB 和 64 KB。

**重要**  
AWS WAF 不支持 gRPC 流量的请求机构检查规则。如果您在 CloudFront 分发版或 Application Load Balancer 的保护包（Web ACL）上启用了这些规则，则任何使用 gRPC 的请求都将忽略请求正文检查规则。所有其他 AWS WAF 规则仍将适用。有关更多信息，请参阅《*Amazon CloudFront 开发者指南*》中的[AWS WAF 为分配启用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html)。

**超大正文处理**  
如果您的 web 流量中包含的正文大于该限制，则您配置的超大处理都将适用。有关超大处理的选项的信息，请参阅 [中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。

**提高限制设置的定价注意事项**  
AWS WAF 对检查处于资源类型默认限制范围内的流量收取基本费率。

对于 CloudFront API Gateway、Amazon Cognito、App Runner 和 Verified Access 资源，如果您提高限制设置，则 AWS WAF 可以检查的流量将包括身体大小不超过您的新限制。只有检查正文大小大于默认 16 KB 的请求时，您才需要额外付费。有关定价的更多信息，请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。

**修改正文检查大小限制的选项**  
您可以为 API Gateway CloudFront、Amazon Cognito、App Runner 或已验证访问资源配置身体检查大小限制。

在创建或编辑保护包（web ACL）时，可以在资源关联配置中修改正文检查大小限制。有关 API，请参阅保护包 (Web ACL) 的关联配置，网址为[AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html)。对于控制台，配置参见位于您指定保护包（web ACL）关联资源的页面上。有关控制台配置的指导，请参阅 [在中查看 Web 流量指标 AWS WAF](web-acl-working-with.md)。

## AWS WAF Application Load Balancer 上的 HTTP/2 流量检查控制
<a name="web-acl-http2-body-inspection"></a>

您可以配置在路由到 HTTP/2 目标时如何 AWS WAF 检查您的（Application Load Balancer）上的 HTTP/2 请求正文。调整检查时间允许您在安全覆盖范围和应用程序的通信模式之间取得平衡。

要修改此设置，请编辑目标的 HTTP/2 目标组属性。您可以在 Application Load Balancer 目标组控制台的 **WAF HTTP/2 流量检查行为**下找到此设置。有关更多信息，请参阅 [ALB 文档](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/waf-http2-inspection.html)。

**WAF HTTP/2 流量检查行为的**属性为：

**立即检查**（默认）  
AWS WAF 使用可用的 HTTP/2 请求数据立即检查每个请求。  
对于双向流式传输应用程序，请选择此选项，在这种应用程序中，客户端需要服务器在完成请求传输之前做出响应。这样可以防止需要实时双向通信的应用程序出现超时。

**在数据充足后进行检查**  
AWS WAF 只有在从客户端收到足够 HTTP/2 的数据帧后才开始检查，从而确保完成请求检查以增强安全性。  
对于标准请求-响应应用程序，请选择此选项，在这种应用程序中，客户端在等待服务器响应之前发送所有请求数据。这是大多数用例的推荐设置。