Sim, e eles não precisam de mágica aqui, apenas correspondência trivial no conteúdo do pacote TCP. Embora o SSH e o TLS (SSL) criptografem suas cargas , os cabeçalhos de protocolo eles ainda são distinguíveis e muito diferentes um do outro. Por exemplo, uma conexão SSHv2 sempre começa com o cliente enviando SSH-2.0-(client name and version) . Da mesma forma, mesmo que o seu firewall não possa realmente saber se a conexão TLS transporta o HTTP para dentro, ele pode reconhecer o próprio TLS .
Essa inspeção de camadas acima do TCP geralmente cai em "Deep Packet Inspection", uma característica relativamente comum.
Uma maneira óbvia de contornar isso é tunelando o SSH dentro TLS - por exemplo, usando stunnel, haproxy ou sniproxy. (Além do tunelamento simples, em que a porta 443 é dedicada ao SSH-over-TLS, eles também podem multiplexar SSH / HTTP / outros protocolos na mesma porta com base em SNI e ALPN.)
Embora isso nem sempre derrote uma análise de tráfego realmente sofisticada, ela ainda ignoraria a maioria dos filtros que apenas verificam "isso parece um cabeçalho TLS".
E depois há o tipo irritante de firewalls - aqueles que interceptam o TLS para descriptografar e recriptografar todo o tráfego. Estes podem realmente ver dentro do TLS, e podem passar solicitações HTTP enquanto bloqueiam todo o resto. (Observe que alguns programas antivírus também fazem a mesma coisa.) Você pode reconhecer esse tipo observando os certificados do servidor; todos os certificados gerados por proxy têm a mesma aparência e geralmente não passam na validação, enquanto os certificados reais são emitidos por várias CAs diferentes.