Původní myšlenka firewallu jako paketového filtru je asi taková: mám serverový systém, na kterém běží démon, který by mohl někdo zneužít. Proto jej pro určitou síť nebo pro všechny znepřístupním - pakety co doputují kam nechci zahodím.

Mám-li nějakého klienta, který se připojuje ven, je na moji odpovědnost že binárka je v pořádku. Od toho firewall není; od toho mám program který prohledá binárky a otestuje je na podezřelý kód (aka antivir).

všechno ostatní je špatně.

Tj, špatně je, když firewall pracuje s aplikacemi, špatně je, že MS dal serverový systém do rukou domácím uživatelům, špatné je že v XP Home běží defaultně RPC, DCOM, Plug and Pray, SMB, špatně je, že všichni BFU dělají pod administrátorem a snadno spustí nebezpečný kód.