Um firewall pode ser transparente em L2 (dependendo da configuração), mas isso não é suficiente.
Para funcionalidade completa, o firewall precisa reconhecer quadros marcados VLAN e olhar dentro deles para IP. É possível que alguns tipos façam isso automaticamente. Mas outros podem exigir que uma "interface VLAN virtual" separada seja configurada no firewall para cada ID de VLAN.
Se o firewall é meramente transparente em L2, mas não entende as VLANs, então ele não as protegerá: ou ele descartará os quadros como desconhecidos ou os ignorará como desconhecidos.