Tường Lửa Vĩ Đại Của Trung Quốc Hoạt Động Như Thế Nào
Last updated: tháng 4 9, 2026
Khám phá các kỹ thuật kiểm duyệt mạng của Trung Quốc: DNS poisoning, IP blocking, DPI, SNI inspection. Hiểu cách thức hoạt động và những hạn chế của nó.
Hãy tưởng tượng bạn đang ở Bắc Kinh và muốn truy cập một trang web tin tức độc lập. Bạn gõ URL vào trình duyệt, nhấn Enter, và sau đó... không có gì xảy ra. Trang không tải. Nó không phải là do máy chủ bị hỏng — nó là vì kết nối của bạn bị chặn tại một điểm nào đó giữa máy tính của bạn và máy chủ đó. Đó chính là Tường Lửa Vĩ Đại (Great Firewall, hay GFW), một hệ thống kiểm duyệt mạng phức tạp nhất thế giới.
Tường Lửa Vĩ Đại không phải là một bức tường vật lý duy nhất. Nó là một tập hợp các công nghệ được triển khai trên toàn bộ cơ sở hạ tầng mạng của Trung Quốc. Để hiểu nó, chúng ta cần hiểu cách thức Internet hoạt động, rồi xem các điểm yếu nơi kiểm duyệt được thêm vào.
DNS poisoning và việc chặn ở cấp tên miền
Khi bạn truy cập một trang web, máy tính của bạn trước tiên phải tìm ra địa chỉ IP — một chuỗi số duy nhất giống như địa chỉ nhà — của máy chủ web đó. Nó làm điều này bằng cách gửi một yêu cầu tới máy chủ DNS (Domain Name System), về cơ bản là một "sổ điện thoại" khổng lồ của Internet. Máy chủ DNS trả lời: "facebook.com nằm tại địa chỉ IP 31.13.64.35".
Tường Lửa Vĩ Đại tác động vào bước này. Khi nó phát hiện yêu cầu DNS cho một trang web bị cấm, thay vì để yêu cầu đó đi tới máy chủ DNS thực sự, nó "độc" (poison) kết nối bằng cách gửi lại một phản hồi DNS giả. Bạn sẽ nhận được một địa chỉ IP sai — hoặc không nhận được gì cả. Máy tính của bạn sau đó sẽ cố gắng kết nối tới địa chỉ đó và thất bại.
Đây là một hình thức kiểm duyệt thứ cấp, nhưng hiệu quả. Nó không cần chặn từng kết nối cá nhân — chỉ cần phá vỡ bước tra cứu ban đầu là đủ.
IP blocking: chặn ở địa chỉ
Nhưng DNS poisoning không phải lúc nào cũng hoạt động. Nếu bạn đã biết địa chỉ IP của một trang web, hoặc nếu trang web sử dụng HTTPS (một giao thức an toàn mà chúng tôi sẽ nói đến sau), bạn có thể bỏ qua bước DNS. Vì vậy Tường Lửa cũng chặn trực tiếp tại cấp IP.
Mỗi khi một kết nối được thiết lập từ bên trong Trung Quốc tới một máy chủ nước ngoài được biết là bị cấm, các router của Tường Lửa sẽ gửi lại một lệnh RST (Reset) — về cơ bản là nói "hãy dừng kết nối này ngay lập tức". Đây giống như một người đưa thư từ chối nhận thư của bạn tại cửa — kết nối bị ngắt trước khi thực sự bắt đầu.
Lai rồi kiểm duyệt ở cấp giao thức
Đó là hai kỹ thuật cơ bản, nhưng chúng chỉ hoạt động trên những trang web được biết trước. Những gì xảy ra khi một trang web mới xuất hiện, hoặc khi lưu lượng được mã hóa?
Đây là nơi các kỹ thuật tinh vi hơn xuất hiện. Một trong số đó được gọi là DPI (Deep Packet Inspection — Kiểm duyệt Gói Sâu). Hãy tưởng tượng mỗi lần bạn gửi dữ liệu trên Internet, nó được chia thành các "gói" nhỏ giống như một lá thư được chia thành các trang. DPI cho phép Tường Lửa mở từng gói này và xem nội dung bên trong — không phải để đọc tin nhắn của bạn, mà để tìm kiếm các dấu hiệu cảnh báo.
Chẳng hạn, DPI có thể tìm kiếm các chuỗi văn bản cụ thể hoặc các mẫu dữ liệu biết là liên quan đến các công cụ绕过kiểm duyệt. Nó cũng có thể phân tích cách dữ liệu được gửi — các "dấu tay" giao thức — để xác định loại ứng dụng hoặc dịch vụ được sử dụng, ngay cả khi nó được mã hóa.
SNI inspection và TLS handshake manipulation
Khi bạn kết nối với một trang web HTTPS an toàn, điều đầu tiên xảy ra là "TLS handshake" (bắt tay TLS) — một cuộc trò chuyện ban đầu giữa máy tính của bạn và máy chủ để thiết lập một kết nối được mã hóa.
Gần như toàn bộ lưu lượng HTTPS hiện đại sử dụng một phần dữ liệu có tên SNI (Server Name Indication — Chỉ báo Tên Máy chủ). Đây là tên miền bạn đang cố gắng truy cập, được gửi ở dạng văn bản rõ ràng (không được mã hóa) trong bước bắt tay ban đầu. Tường Lửa có thể đọc giá trị SNI này và quyết định có cho phép kết nối không.
Thêm vào đó, nó có thể thao tác với bắt tay TLS tự nó — chẳng hạn như gửi các gói dữ liệu sai định dạng để phá vỡ kết nối hoặc buộc thiết bị của bạn phải kết nối lại lặp đi lặp lại.
Proactive probing: chủ động kiểm tra các máy chủ proxy
Tường Lửa không chỉ phản ứng — nó còn chủ động. Khi nó phát hiện rằng một máy chủ ở nước ngoài có thể là một proxy hoặc công cụ để vượt tường lửa, nó sẽ chủ động kết nối với máy chủ đó, gửi các yêu cầu thử nghiệm, và xem nó phản hồi như thế nào. Nếu nó có vẻ như một công cụ绕过kiểm duyệt, máy chủ đó có thể bị chặn cho toàn bộ quốc gia.
Tại sao nó hoạt động: những lợi thế của một hệ thống kiểm duyệt
Tường Lửa Vĩ Đại hiệu quả bởi vì nó hoạt động ở nhiều lớp của cơ sở hạ tầng mạng. Nó không phải chỉ chặn một điều — nó chặn ở mục tiêu DNS, ở cấp IP, ở cấp giao thức. Điều này tạo ra một số lớp bảo vệ.
Thứ hai, nó có lợi thế của sự tập trung. Toàn bộ lưu lượng Internet ra khỏi Trung Quốc phải đi qua một số điểm chốt (các điểm kết nối quốc tế). Tường Lửa có thể kiểm duyệt ở những điểm chốt này, vì vậy nó không cần kiểm duyệt trên hàng triệu mạng gia đình cá nhân.
Những gì nó không thể chặn hoàn toàn
Nhưng Tường Lửa cũng có những hạn chế. Một số công nghệ vượt qua các kỹ thuật phát hiện của nó.
Trước tiên, các proxy được xoay vòng và mã hóa hoạt động một phần bởi vì chúng thay đổi nhanh chóng. Nếu một máy chủ proxy được phát hiện và chặn, nó sẽ được thay thế bằng một máy chủ khác. Điều này là một trò chơi mèo và chuột vô tận.
Thứ hai, REALITY (một giao thức mới) và Snowflake bridges cố gắng trốn tránh DPI và SNI inspection bằng cách làm cho lưu lượng trông giống hệt như một kết nối HTTPS bình thường với một trang web được cho phép. Chúng tạo ra sự lẫn lộn về những gì là kết nối thực sự và những gì là lưu lượng được mã hóa để vượt tường.
Đây là những công nghệ phát triển không ngừng. Không có giải pháp hoàn hảo. Bất cứ điều gì hoạt động hôm nay có thể bị phát hiện vào ngày mai.
Lấy từ xa lại: tại sao điều này quan trọng
Tường Lửa Vĩ Đại không phải chỉ là một sự tò mò kỹ thuật. Nó là một ví dụ về sức mạnh thực tế của kiểm soát mạng. Nó cho thấy rằng kiểm duyệt Internet hiệu quả không yêu cầu công nghệ huyền bí — chỉ cần sự kiểm soát tập trung trên cơ sở hạ tầng mạng, kết hợp với các kỹ thuật ở nhiều lớp khác nhau.
Nó cũng cho thấy rằng không có giải pháp vĩnh viễn. Bất cứ khi nào một công nghệ mới cho phép mọi người vượt qua kiểm duyệt, các hệ thống kiểm duyệt phát triển để phát hiện và chặn nó. Đây là một cuộc chạy đua vũ trang vô tận giữa công nghệ và kiểm soát.
Nếu bạn muốn hiểu sâu hơn, hãy tìm hiểu thêm về DNS, HTTPS, giao thức mạng cấp thấp, và cách các công cụ như VPN và proxy thực sự hoạt động. Tường Lửa Vĩ Đại chỉ là một ứng dụng đặc biệt của những khái niệm mạng cơ bản này.
Tường Lửa Vĩ Đại không phải là một bức tường vật lý duy nhất. Nó là một tập hợp các công nghệ được triển khai trên toàn bộ cơ sở hạ tầng mạng của Trung Quốc. Để hiểu nó, chúng ta cần hiểu cách thức Internet hoạt động, rồi xem các điểm yếu nơi kiểm duyệt được thêm vào.
DNS poisoning và việc chặn ở cấp tên miền
Khi bạn truy cập một trang web, máy tính của bạn trước tiên phải tìm ra địa chỉ IP — một chuỗi số duy nhất giống như địa chỉ nhà — của máy chủ web đó. Nó làm điều này bằng cách gửi một yêu cầu tới máy chủ DNS (Domain Name System), về cơ bản là một "sổ điện thoại" khổng lồ của Internet. Máy chủ DNS trả lời: "facebook.com nằm tại địa chỉ IP 31.13.64.35".
Tường Lửa Vĩ Đại tác động vào bước này. Khi nó phát hiện yêu cầu DNS cho một trang web bị cấm, thay vì để yêu cầu đó đi tới máy chủ DNS thực sự, nó "độc" (poison) kết nối bằng cách gửi lại một phản hồi DNS giả. Bạn sẽ nhận được một địa chỉ IP sai — hoặc không nhận được gì cả. Máy tính của bạn sau đó sẽ cố gắng kết nối tới địa chỉ đó và thất bại.
Đây là một hình thức kiểm duyệt thứ cấp, nhưng hiệu quả. Nó không cần chặn từng kết nối cá nhân — chỉ cần phá vỡ bước tra cứu ban đầu là đủ.
IP blocking: chặn ở địa chỉ
Nhưng DNS poisoning không phải lúc nào cũng hoạt động. Nếu bạn đã biết địa chỉ IP của một trang web, hoặc nếu trang web sử dụng HTTPS (một giao thức an toàn mà chúng tôi sẽ nói đến sau), bạn có thể bỏ qua bước DNS. Vì vậy Tường Lửa cũng chặn trực tiếp tại cấp IP.
Mỗi khi một kết nối được thiết lập từ bên trong Trung Quốc tới một máy chủ nước ngoài được biết là bị cấm, các router của Tường Lửa sẽ gửi lại một lệnh RST (Reset) — về cơ bản là nói "hãy dừng kết nối này ngay lập tức". Đây giống như một người đưa thư từ chối nhận thư của bạn tại cửa — kết nối bị ngắt trước khi thực sự bắt đầu.
Lai rồi kiểm duyệt ở cấp giao thức
Đó là hai kỹ thuật cơ bản, nhưng chúng chỉ hoạt động trên những trang web được biết trước. Những gì xảy ra khi một trang web mới xuất hiện, hoặc khi lưu lượng được mã hóa?
Đây là nơi các kỹ thuật tinh vi hơn xuất hiện. Một trong số đó được gọi là DPI (Deep Packet Inspection — Kiểm duyệt Gói Sâu). Hãy tưởng tượng mỗi lần bạn gửi dữ liệu trên Internet, nó được chia thành các "gói" nhỏ giống như một lá thư được chia thành các trang. DPI cho phép Tường Lửa mở từng gói này và xem nội dung bên trong — không phải để đọc tin nhắn của bạn, mà để tìm kiếm các dấu hiệu cảnh báo.
Chẳng hạn, DPI có thể tìm kiếm các chuỗi văn bản cụ thể hoặc các mẫu dữ liệu biết là liên quan đến các công cụ绕过kiểm duyệt. Nó cũng có thể phân tích cách dữ liệu được gửi — các "dấu tay" giao thức — để xác định loại ứng dụng hoặc dịch vụ được sử dụng, ngay cả khi nó được mã hóa.
SNI inspection và TLS handshake manipulation
Khi bạn kết nối với một trang web HTTPS an toàn, điều đầu tiên xảy ra là "TLS handshake" (bắt tay TLS) — một cuộc trò chuyện ban đầu giữa máy tính của bạn và máy chủ để thiết lập một kết nối được mã hóa.
Gần như toàn bộ lưu lượng HTTPS hiện đại sử dụng một phần dữ liệu có tên SNI (Server Name Indication — Chỉ báo Tên Máy chủ). Đây là tên miền bạn đang cố gắng truy cập, được gửi ở dạng văn bản rõ ràng (không được mã hóa) trong bước bắt tay ban đầu. Tường Lửa có thể đọc giá trị SNI này và quyết định có cho phép kết nối không.
Thêm vào đó, nó có thể thao tác với bắt tay TLS tự nó — chẳng hạn như gửi các gói dữ liệu sai định dạng để phá vỡ kết nối hoặc buộc thiết bị của bạn phải kết nối lại lặp đi lặp lại.
Proactive probing: chủ động kiểm tra các máy chủ proxy
Tường Lửa không chỉ phản ứng — nó còn chủ động. Khi nó phát hiện rằng một máy chủ ở nước ngoài có thể là một proxy hoặc công cụ để vượt tường lửa, nó sẽ chủ động kết nối với máy chủ đó, gửi các yêu cầu thử nghiệm, và xem nó phản hồi như thế nào. Nếu nó có vẻ như một công cụ绕过kiểm duyệt, máy chủ đó có thể bị chặn cho toàn bộ quốc gia.
Tại sao nó hoạt động: những lợi thế của một hệ thống kiểm duyệt
Tường Lửa Vĩ Đại hiệu quả bởi vì nó hoạt động ở nhiều lớp của cơ sở hạ tầng mạng. Nó không phải chỉ chặn một điều — nó chặn ở mục tiêu DNS, ở cấp IP, ở cấp giao thức. Điều này tạo ra một số lớp bảo vệ.
Thứ hai, nó có lợi thế của sự tập trung. Toàn bộ lưu lượng Internet ra khỏi Trung Quốc phải đi qua một số điểm chốt (các điểm kết nối quốc tế). Tường Lửa có thể kiểm duyệt ở những điểm chốt này, vì vậy nó không cần kiểm duyệt trên hàng triệu mạng gia đình cá nhân.
Những gì nó không thể chặn hoàn toàn
Nhưng Tường Lửa cũng có những hạn chế. Một số công nghệ vượt qua các kỹ thuật phát hiện của nó.
Trước tiên, các proxy được xoay vòng và mã hóa hoạt động một phần bởi vì chúng thay đổi nhanh chóng. Nếu một máy chủ proxy được phát hiện và chặn, nó sẽ được thay thế bằng một máy chủ khác. Điều này là một trò chơi mèo và chuột vô tận.
Thứ hai, REALITY (một giao thức mới) và Snowflake bridges cố gắng trốn tránh DPI và SNI inspection bằng cách làm cho lưu lượng trông giống hệt như một kết nối HTTPS bình thường với một trang web được cho phép. Chúng tạo ra sự lẫn lộn về những gì là kết nối thực sự và những gì là lưu lượng được mã hóa để vượt tường.
Đây là những công nghệ phát triển không ngừng. Không có giải pháp hoàn hảo. Bất cứ điều gì hoạt động hôm nay có thể bị phát hiện vào ngày mai.
Lấy từ xa lại: tại sao điều này quan trọng
Tường Lửa Vĩ Đại không phải chỉ là một sự tò mò kỹ thuật. Nó là một ví dụ về sức mạnh thực tế của kiểm soát mạng. Nó cho thấy rằng kiểm duyệt Internet hiệu quả không yêu cầu công nghệ huyền bí — chỉ cần sự kiểm soát tập trung trên cơ sở hạ tầng mạng, kết hợp với các kỹ thuật ở nhiều lớp khác nhau.
Nó cũng cho thấy rằng không có giải pháp vĩnh viễn. Bất cứ khi nào một công nghệ mới cho phép mọi người vượt qua kiểm duyệt, các hệ thống kiểm duyệt phát triển để phát hiện và chặn nó. Đây là một cuộc chạy đua vũ trang vô tận giữa công nghệ và kiểm soát.
Nếu bạn muốn hiểu sâu hơn, hãy tìm hiểu thêm về DNS, HTTPS, giao thức mạng cấp thấp, và cách các công cụ như VPN và proxy thực sự hoạt động. Tường Lửa Vĩ Đại chỉ là một ứng dụng đặc biệt của những khái niệm mạng cơ bản này.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ LỰA CHỌN BIÊN TẬP
★★★★★ 9.5/10 · 6,000+ servers · Hoạt động ở Trung Quốc
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.