

**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 中管理主體檢查的考量事項 AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

內文檢查大小限制是 AWS WAF 可檢查的請求內文大小上限。當 Web 請求內文大於限制時，基礎主機服務只會將限制內的內容轉送至 AWS WAF 以供檢查。
+ 對於 Application Load Balancer 和 AWS AppSync，限制固定為 8 KB (8，192 位元組）。
+ 對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access，預設限制為 16 KB (16，384 位元組），而且您可以將任何資源類型的限制以 16 KB 遞增，最多 64 KB。設定選項為 16 KB、32 KB、48 KB 和 64 KB。

**重要**  
AWS WAF 不支援 gRPC 流量的請求內文檢查規則。如果您在 CloudFront 分佈或 Application Load Balancer 的保護套件 (Web ACL) 上啟用這些規則，則任何使用 gRPC 的請求都會忽略請求內文檢查規則。所有其他 AWS WAF 規則仍然適用。如需詳細資訊，請參閱《*Amazon CloudFront 開發人員指南*》中的[AWS WAF 針對分佈啟用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) 。

**過大主體處理**  
如果您的 Web 流量包含大於限制的內文，則會套用您設定的過大處理。如需處理過大選項的詳細資訊，請參閱 [在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。

**提高限制設定的定價考量**  
AWS WAF 會針對檢查資源類型預設限制內的流量，收取基本費率。

對於 CloudFront、API Gateway、Amazon Cognito、App Runner 和 Verified Access 資源，如果您增加限制設定， AWS WAF 可以檢查的流量包含不超過新限制的內文大小。只有在檢查內文大小大於預設 16 KB 的請求時，才會向您收取額外的費用。如需定價的詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

**修改內文檢查大小限制的選項**  
您可以設定 CloudFront、API Gateway、Amazon Cognito、App Runner 或 Verified Access 資源的內文檢查大小限制。

當您建立或編輯保護套件 (Web ACL) 時，您可以在資源關聯組態中修改內文檢查大小限制。如需 API，請參閱 [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html) 中的保護套件 (Web ACL) 的關聯組態。對於 主控台，請參閱您指定保護套件 (Web ACL) 相關資源之頁面上的組態。如需主控台組態的指引，請參閱 [在 中檢視 Web 流量指標 AWS WAF](web-acl-working-with.md)。

## AWS WAF Application Load Balancer 上 HTTP/2 流量的檢查控制
<a name="web-acl-http2-body-inspection"></a>

您可以設定 如何在路由至 HTTP/2 目標時 AWS WAF 檢查 (Application Load Balancer) 上的 HTTP/2 請求內文。調整檢查時間可讓您在安全涵蓋範圍與應用程式的通訊模式之間取得平衡。

若要修改此設定，請編輯 HTTP/2 目標的目標群組屬性。您可以在 Application Load Balancer 目標群組主控台的 **WAF HTTP/2 流量檢查行為**下找到此設定。如需詳細資訊，請參閱 [ALB 文件](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/waf-http2-inspection.html)。

**WAF HTTP/2 流量檢查行為**的屬性為：

**立即檢查 **（預設）  
AWS WAF 立即使用可用的請求資料檢查每個 HTTP/2 請求。  
針對用戶端在完成請求傳輸之前預期伺服器回應的雙向串流應用程式，選擇此選項。這可防止需要即時雙向通訊的應用程式逾時。

**檢查資料是否足夠**  
AWS WAF 檢查只有在從用戶端接收到足夠的 HTTP/2 資料框架後才會開始，以確保完整的請求檢查以確保增強的安全性。  
針對用戶端在預期伺服器回應之前傳送所有請求資料的標準請求回應應用程式，選擇此選項。這是大多數使用案例的建議設定。