I strati OSI sono un modello che non era pensato per IP ma per un protocollo più vecchio e concorrente. L'IP non si adatta bene a quel livello, specialmente quando si prevede SSL (che deve essere sia nel livello 6 che nel livello 4, il che è logicamente impossibile). Questi livelli sono solo confusi, quindi non usarli.
Restrizioni IP significa che il tuo server si rifiuterà di perseguire le connessioni che sono contrassegnate con l'indirizzo IP sbagliato. Questo non protegge i dati dagli intercettatori.
Fammi prendere un'analogia : supponiamo che le tue connessioni siano buone vecchie lettere, con un indirizzo di destinazione e un indirizzo del mittente. Le buste sono trasparenti. L'equivalente delle restrizioni IP si ha quando il destinatario rifiuta di aprire, e tanto meno di rispondere, buste che non sono contrassegnate con un indirizzo "mittente conosciuto". Ma nessuno garantisce che l'indirizzo del mittente scritto sulla busta sia autentico; inviare una lettera con un indirizzo mittente falso è facile. Naturalmente, se io, un utente malintenzionato, mando una lettera con il tuo indirizzo come mittente presunto, non vedrò la risposta (a meno che non saccheggia la tua casella di posta). Ma il destinatario potrebbe aver già agito sul contenuto della lettera, credendo che provenisse da te. Inoltre, poiché le buste sono trasparenti, ogni postino può leggere il contenuto delle lettere.
Per una vera protezione, hai bisogno di lettere opache, affidate a trasportatori armati su un veicolo blindato. Nel mondo di Internet, questo è chiamato SSL (aka HTTPS in un contesto Web).