Tường lửa hoạt động như thế nào: Từ nhà bạn đến các quốc gia
Last updated: tháng 4 9, 2026
Hiểu rõ cách tường lửa lọc lưu lượng mạng, từ router nhà bạn đến các hệ thống quốc gia. Giải thích packet filtering, stateful inspection và DPI.
Hãy tưởng tượng một tình huống đơn giản: bạn đang ở nhà, kết nối với Wi-Fi của bạn, và bạn gửi một yêu cầu để xem một trang web. Yêu cầu đó không bay thẳng ra internet mà trước tiên nó phải đi qua bộ định tuyến Wi-Fi của bạn. Bộ định tuyến đó không chỉ đơn giản là chuyển tiếp dữ liệu của bạn mà nó cũng đang quyết định xem dữ liệu đó có được phép đi qua hay không. Đó chính là việc một tường lửa thực hiện. Nhưng tường lửa là gì, nó hoạt động như thế nào, và tại sao chúng ta cần chúng — đặc biệt là khi các quốc gia sử dụng chúng để kiểm soát toàn bộ lưu lượng mạng? Bài viết này sẽ giải thích những điều đó.
Tường lửa là gì?
Tường lửa là một hệ thống hoặc thiết bị hoạt động như một bộ lọc dữ liệu giữa hai mạng. Hãy coi nó như một người bảo vệ đứng ở cổng ra vào của mạng của bạn. Mỗi khi một tin nhắn mạng (gọi là "gói", hoặc packet) cố gắng đi vào hoặc ra khỏi mạng của bạn, tường lửa sẽ kiểm tra nó. Nó sẽ hỏi: "Gói này có được phép không?" và dựa trên một bộ quy tắc được cấu hình sẵn, nó sẽ cho phép hoặc chặn gói đó.
Có ba cấp độ chính của tường lửa, và mỗi cấp độ hoạt động khác nhau tùy thuộc vào loại thông tin nó xem xét.
Cấp độ đầu tiên: Lọc gói dữ liệu (Packet Filtering)
Hãy tưởng tượng mỗi gói dữ liệu là một b封thư. Trên phía ngoài của l封phong bì, có những thông tin cơ bản: địa chỉ gửi (địa chỉ IP của máy tính gửi), địa chỉ nhận (địa chỉ IP của máy nhận), và loại dịch vụ được sử dụng (được xác định bằng một con số gọi là "cổng", hoặc port). Một tường lửa lọc gói dữ liệu sẽ nhìn vào những thông tin này và quyết định có chặn gói hay không.
Ví dụ, một quy tắc có thể nói: "Chặn tất cả dữ liệu đến từ địa chỉ IP 192.168.1.100 trên cổng 22" (cổng 22 là cổng SSH, được dùng để truy cập từ xa vào máy tính). Hoặc: "Cho phép tất cả dữ liệu từ mạng bên ngoài vào cổng 80 và 443" (những cổng dùng cho duyệt web).
Loại tường lửa này rất nhanh vì nó chỉ phải nhìn vào những thông tin cơ bản của gói. Nhưng nó cũng có hạn chế lớn: nó không biết liệu gói là phần của một cuộc trò chuyện hợp pháp hay là một cuộc tấn công. Nó chỉ nhìn vào địa chỉ và cổng, không phải nội dung thực tế của gói.
Cấp độ thứ hai: Kiểm tra với trạng thái (Stateful Inspection)
Một bước tiến lên là tường lửa có "trạng thái" hay stateful firewall. Cái tên này xuất phát từ việc tường lửa này ghi nhớ trạng thái của các kết nối đang hoạt động.
Hãy coi nó như một nhân viên quầy hàng biết tên bạn. Lần đầu tiên bạn bước vào cửa hàng, nhân viên đó kiểm tra thẻ ID của bạn. Nhưng lần thứ hai, nếu bạn đang có cuộc trò chuyện với nhân viên đó, anh ta sẽ không yêu cầu bạn xuất trình lại thẻ ID — anh ta biết bạn là ai vì anh ta nhớ cuộc trò chuyện trước đó.
Stateful firewall hoạt động tương tự. Khi máy tính của bạn khởi tạo một kết nối tới một máy chủ web (ví dụ, yêu cầu trang web), tường lửa sẽ ghi nhớ rằng bạn đã khởi tạo cuộc trò chuyện này. Khi máy chủ web gửi dữ liệu trả lại, tường lửa sẽ biết rằng đó là phần của một kết nối mà bạn đã bắt đầu, nên nó sẽ cho phép dữ liệu đó đi qua — ngay cả nếu theo các quy tắc lọc gói cơ bản, nó có vẻ như một kết nối đến không được phép.
Nhờ vậy, stateful firewall an toàn hơn vì nó có thể phát hiện được các cuộc tấn công "ngược" — khi kẻ tấn công cố gắng bắt đầu một kết nối mà bạn không khởi tạo.
Cấp độ thứ ba: Tường lửa ứng dụng (Application-Layer Firewall)
Đây là cấp độ tinh vi nhất. Thay vì chỉ nhìn vào địa chỉ IP và cổng, hoặc thậm chí chỉ theo dõi kết nối, tường lửa ứng dụng thực sự đọc nội dung bên trong gói dữ liệu.
Hãy quay lại ví dụ b封thư. Nếu stateful firewall là người bảo vệ nhìn vào địa chỉ trên phía ngoài b封phong bì, thì application-layer firewall sẽ mở b封phong bì và đọc thư bên trong. Nó có thể hiểu được HTTP (dự liệu duyệt web), DNS (tra cứu tên miền), email, và các giao thức khác. Nhờ vậy, nó có thể phát hiện được những mối đe dọa cụ thể, như một trang web cố gắng chèn mã độc vào trình duyệt của bạn, hoặc một email chứa bệnh độc hại.
Tường lửa nhà bạn, tường lửa của hệ điều hành, tường lửa doanh nghiệp
Có ba nơi chủ yếu mà bạn sẽ gặp tường lửa. Thứ nhất là bộ định tuyến Wi-Fi của bạn ở nhà — đó là một stateful firewall đơn giản, chủ yếu chỉ để bảo vệ mạng cục bộ của bạn. Thứ hai là tường lửa của hệ điều hành, chạy trên chính máy tính của bạn (Windows Firewall, macOS firewall, iptables trên Linux) — đó thường là một sự kết hợp giữa lọc gói và stateful inspection, và nó kiểm soát ứng dụng nào có thể kết nối với mạng. Thứ ba là tường lửa ở cấp độ doanh nghiệp hoặc quốc gia — đây có thể là một application-layer firewall, nhưng cũng có thể kết hợp với công nghệ khác gọi là DPI (Deep Packet Inspection), cho phép nó có thể lọc dựa trên nội dung chi tiết.
Tường lửa quốc gia và DPI
Khi chúng ta nói về các quốc gia "chặn" internet, những gì đang xảy ra thường là một tường lửa rất lớn ở cấp độ quốc gia. Nó hoạt động với nguyên tắc tương tự như những gì chúng ta vừa mô tả, nhưng ở quy mô khổng lồ: nó kiểm tra hầu hết hoặc tất cả lưu lượng mạng đi vào hoặc ra khỏi đất nước.
Những tường lửa này thường sử dụng DPI — một kỹ thuật cho phép chúng kiểm tra sâu vào nội dung của mỗi gói. Điều này có nghĩa là nó không chỉ biết rằng bạn đang truy cập một trang web; nó có thể biết chính xác bạn đang tìm kiếm gì, bạn đang nói gì trong email, thậm chí cả loại nội dung đang được truyền tải. Kết hợp stateful inspection với DPI, một tường lửa quốc gia trở thành một công cụ rất mạnh để kiểm soát thông tin.
Tóm tắt
Tường lửa, ở bản chất nhất, là một bộ lọc dữ liệu. Chúng được tìm thấy ở mọi nơi — từ bộ định tuyến nhà bạn đến máy tính của bạn đến các ranh giới quốc gia. Mỗi loại hoạt động theo cách khác: từ lọc đơn giản dựa trên địa chỉ, đến theo dõi kết nối, đến đọc nội dung thực tế. Điểm quan trọng cần nhớ là tường lửa không hoàn hảo — chúng thường xuyên chặn những gì bạn cần (một hiện tượng gọi là "false positive") và cũng có thể bỏ lỡ những mối đe dọa thực sự ("false negative"). Và ở cấp độ quốc gia, chúng có thể trở thành công cụ để kiểm soát thông tin.
Nếu bạn muốn hiểu thêm, bạn nên tìm hiểu về các khái niệm liên quan: địa chỉ IP, cổng mạng (port), giao thức mạng như TCP/IP, và cách VPN hoạt động để bỏ qua những kiểm soát này.
Tường lửa là gì?
Tường lửa là một hệ thống hoặc thiết bị hoạt động như một bộ lọc dữ liệu giữa hai mạng. Hãy coi nó như một người bảo vệ đứng ở cổng ra vào của mạng của bạn. Mỗi khi một tin nhắn mạng (gọi là "gói", hoặc packet) cố gắng đi vào hoặc ra khỏi mạng của bạn, tường lửa sẽ kiểm tra nó. Nó sẽ hỏi: "Gói này có được phép không?" và dựa trên một bộ quy tắc được cấu hình sẵn, nó sẽ cho phép hoặc chặn gói đó.
Có ba cấp độ chính của tường lửa, và mỗi cấp độ hoạt động khác nhau tùy thuộc vào loại thông tin nó xem xét.
Cấp độ đầu tiên: Lọc gói dữ liệu (Packet Filtering)
Hãy tưởng tượng mỗi gói dữ liệu là một b封thư. Trên phía ngoài của l封phong bì, có những thông tin cơ bản: địa chỉ gửi (địa chỉ IP của máy tính gửi), địa chỉ nhận (địa chỉ IP của máy nhận), và loại dịch vụ được sử dụng (được xác định bằng một con số gọi là "cổng", hoặc port). Một tường lửa lọc gói dữ liệu sẽ nhìn vào những thông tin này và quyết định có chặn gói hay không.
Ví dụ, một quy tắc có thể nói: "Chặn tất cả dữ liệu đến từ địa chỉ IP 192.168.1.100 trên cổng 22" (cổng 22 là cổng SSH, được dùng để truy cập từ xa vào máy tính). Hoặc: "Cho phép tất cả dữ liệu từ mạng bên ngoài vào cổng 80 và 443" (những cổng dùng cho duyệt web).
Loại tường lửa này rất nhanh vì nó chỉ phải nhìn vào những thông tin cơ bản của gói. Nhưng nó cũng có hạn chế lớn: nó không biết liệu gói là phần của một cuộc trò chuyện hợp pháp hay là một cuộc tấn công. Nó chỉ nhìn vào địa chỉ và cổng, không phải nội dung thực tế của gói.
Cấp độ thứ hai: Kiểm tra với trạng thái (Stateful Inspection)
Một bước tiến lên là tường lửa có "trạng thái" hay stateful firewall. Cái tên này xuất phát từ việc tường lửa này ghi nhớ trạng thái của các kết nối đang hoạt động.
Hãy coi nó như một nhân viên quầy hàng biết tên bạn. Lần đầu tiên bạn bước vào cửa hàng, nhân viên đó kiểm tra thẻ ID của bạn. Nhưng lần thứ hai, nếu bạn đang có cuộc trò chuyện với nhân viên đó, anh ta sẽ không yêu cầu bạn xuất trình lại thẻ ID — anh ta biết bạn là ai vì anh ta nhớ cuộc trò chuyện trước đó.
Stateful firewall hoạt động tương tự. Khi máy tính của bạn khởi tạo một kết nối tới một máy chủ web (ví dụ, yêu cầu trang web), tường lửa sẽ ghi nhớ rằng bạn đã khởi tạo cuộc trò chuyện này. Khi máy chủ web gửi dữ liệu trả lại, tường lửa sẽ biết rằng đó là phần của một kết nối mà bạn đã bắt đầu, nên nó sẽ cho phép dữ liệu đó đi qua — ngay cả nếu theo các quy tắc lọc gói cơ bản, nó có vẻ như một kết nối đến không được phép.
Nhờ vậy, stateful firewall an toàn hơn vì nó có thể phát hiện được các cuộc tấn công "ngược" — khi kẻ tấn công cố gắng bắt đầu một kết nối mà bạn không khởi tạo.
Cấp độ thứ ba: Tường lửa ứng dụng (Application-Layer Firewall)
Đây là cấp độ tinh vi nhất. Thay vì chỉ nhìn vào địa chỉ IP và cổng, hoặc thậm chí chỉ theo dõi kết nối, tường lửa ứng dụng thực sự đọc nội dung bên trong gói dữ liệu.
Hãy quay lại ví dụ b封thư. Nếu stateful firewall là người bảo vệ nhìn vào địa chỉ trên phía ngoài b封phong bì, thì application-layer firewall sẽ mở b封phong bì và đọc thư bên trong. Nó có thể hiểu được HTTP (dự liệu duyệt web), DNS (tra cứu tên miền), email, và các giao thức khác. Nhờ vậy, nó có thể phát hiện được những mối đe dọa cụ thể, như một trang web cố gắng chèn mã độc vào trình duyệt của bạn, hoặc một email chứa bệnh độc hại.
Tường lửa nhà bạn, tường lửa của hệ điều hành, tường lửa doanh nghiệp
Có ba nơi chủ yếu mà bạn sẽ gặp tường lửa. Thứ nhất là bộ định tuyến Wi-Fi của bạn ở nhà — đó là một stateful firewall đơn giản, chủ yếu chỉ để bảo vệ mạng cục bộ của bạn. Thứ hai là tường lửa của hệ điều hành, chạy trên chính máy tính của bạn (Windows Firewall, macOS firewall, iptables trên Linux) — đó thường là một sự kết hợp giữa lọc gói và stateful inspection, và nó kiểm soát ứng dụng nào có thể kết nối với mạng. Thứ ba là tường lửa ở cấp độ doanh nghiệp hoặc quốc gia — đây có thể là một application-layer firewall, nhưng cũng có thể kết hợp với công nghệ khác gọi là DPI (Deep Packet Inspection), cho phép nó có thể lọc dựa trên nội dung chi tiết.
Tường lửa quốc gia và DPI
Khi chúng ta nói về các quốc gia "chặn" internet, những gì đang xảy ra thường là một tường lửa rất lớn ở cấp độ quốc gia. Nó hoạt động với nguyên tắc tương tự như những gì chúng ta vừa mô tả, nhưng ở quy mô khổng lồ: nó kiểm tra hầu hết hoặc tất cả lưu lượng mạng đi vào hoặc ra khỏi đất nước.
Những tường lửa này thường sử dụng DPI — một kỹ thuật cho phép chúng kiểm tra sâu vào nội dung của mỗi gói. Điều này có nghĩa là nó không chỉ biết rằng bạn đang truy cập một trang web; nó có thể biết chính xác bạn đang tìm kiếm gì, bạn đang nói gì trong email, thậm chí cả loại nội dung đang được truyền tải. Kết hợp stateful inspection với DPI, một tường lửa quốc gia trở thành một công cụ rất mạnh để kiểm soát thông tin.
Tóm tắt
Tường lửa, ở bản chất nhất, là một bộ lọc dữ liệu. Chúng được tìm thấy ở mọi nơi — từ bộ định tuyến nhà bạn đến máy tính của bạn đến các ranh giới quốc gia. Mỗi loại hoạt động theo cách khác: từ lọc đơn giản dựa trên địa chỉ, đến theo dõi kết nối, đến đọc nội dung thực tế. Điểm quan trọng cần nhớ là tường lửa không hoàn hảo — chúng thường xuyên chặn những gì bạn cần (một hiện tượng gọi là "false positive") và cũng có thể bỏ lỡ những mối đe dọa thực sự ("false negative"). Và ở cấp độ quốc gia, chúng có thể trở thành công cụ để kiểm soát thông tin.
Nếu bạn muốn hiểu thêm, bạn nên tìm hiểu về các khái niệm liên quan: địa chỉ IP, cổng mạng (port), giao thức mạng như TCP/IP, và cách VPN hoạt động để bỏ qua những kiểm soát này.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ LỰA CHỌN BIÊN TẬP
★★★★★ 9.5/10 · 6,000+ servers · Hoạt động ở Trung Quốc
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.