L'uso del modello OSI di strati è spesso un buon modo per diffondere confusione; inizialmente non era pensato per TCP / IP, e TCP / IP aveva sempre problemi di adattamento.
Quando i dati sono crittografati, non possono più essere compresi da chiunque non conosca la chiave di decodifica. Tuttavia, i firewall non guardano tutti i dati e la crittografia non crittografa tutto , perché i pacchetti devono ancora essere instradati correttamente.
Ad esempio, se la crittografia è SSL, passa a una connessione TCP. Gli indirizzi e le porte di origine e destinazione e i dettagli di gestione TCP (flag SYN e ACK e così via) non sono coperti dalla crittografia. I firewall di solito funzionano solo su porte e indirizzi e flag TCP, e quindi non sono influenzati dalla crittografia SSL; i firewall non sono nemmeno aware che si verifica la crittografia: per loro, i contenuti del flusso TCP sono "solo byte".
Ci sono tuttavia sistemi legati alla sicurezza che sono influenzati dalla crittografia. Ad esempio, tutti i sistemi Deep Packet Inspection . Non sono "firewall" in senso stretto, ma alcune persone si riferiscono a loro come tali sulla base del fatto che possono essere integrati in qualche hardware il cui compito primario è il firewalling. DPI ha problemi con la crittografia. Per dirla senza mezzi termini: un software antivirus in esecuzione sul router di ingresso della tua rete non ti proteggerà se scarichi malware su HTTPS.
VPN può oscurare la situazione, specialmente se vuoi pensare in "livelli".