No proste... nemas pravdu 
Proc si myslis, ze osobni firewally nepouzivaji paketovy filtr na urovni device driveru? Podivej se treba na blbej Zone Alarm... Nebo Outpost... Nebo McAffee Personal Firewall... Nevim, je vlastne nejakej osobni firewall, kterej by paketovy filtr na urovni device driveru nepouzival?Ale místo aby někdo vyvíjel pořádné paketové filtry na úorvni device driveru typu wipfw, tak se právě díky popularitě apliakčních firewallů vyvíjí úplně něco jiného. (A ano, firewall jako service, i to je částečně následek nutnosti interakce s uživatelem ve Windows prostředí je špatně, prostě je )
Paketovej filtr na urovni device driveru prece jeste neznamena, ze musi bejt omezenej, neinteraktivni a konfigurovanej vyhradne textovym souborem.
S tim nasobenim funkcnosti jsem to myslel tak, ze kdyz budes chtit, muzes si nastavit pro kazdou aplikaci vlastni plnohodnotnej paketovej filtr... a pro zbytek nechat filtr defaultni.
Muzes to brat taky tak, ze mas jeden paketovej filtr (podotykam, ze naprosto stejnej a rovnocennej, jako je wipfw), kterej ma ovsem proti wipfw navic k dispozici informaci o zdroji/cili kazdeho paketu (ve smyslu binarky). To je proste informace navic, kterou muzes (a nemusis) pri filtrovani vyuzit.
Shrnuto: kdyz to orezes na kost, osobni firewall je vlastne stavovy firewall typu wipfw + funkce navic, ktere muze plno lidi, kteri to vidi jinak nez ty, vyuzit. Kdyz je vyuzit nechces, nemusis - zbyde ti firewall typu wipfw.
Jeste jedna poznamka: podle tebe jsou mozna "featury navic" jako je moznost nechat se upozornit na prichozi nebo odchozi komunikaci konkretnich aplikaci zbytecne. Ja ti to neberu. Ale nemusis me podezrivat, ze se mi nekde "svevolne mnozi binarky".
Mam asi jiny zpusob mysleni. Jsem programator (ktery delal mj. i device drivery) a vim, ze i kdyz je vsechno nastaveno a promysleno tak, ze proste vsechno musi fungovat, vzdycky muze byt nekde chyba. Proto je fajn mit - minimalne pri ladeni - osetrene vyjimky. Proto je potreba monitorovat memory leaky. A nechat se upozornit na memory leak je uplne totez, jako nechat se upozornit na neocekavany pokus o komunikaci. Spolehat se na to, ze jsem pc pred rokem jednou provzdy nakonfiguroval tak, ze ani bajt neprojde bez meho vedomi, a pritom to nemusim kontrolovat, je podle me nesmyslna bohorovnost. Zvlast v pripade pc, na kterem se neco deje.
P.S. A jeste jedna poznamka, nebo spis otazka (uz jsem se na to ptal o kousek niz)... Jak se v pripade wipfw nastavi takove ty zakladni obrany proti utokum - napriklad aby automaticky na 24 hodin odriznul ip adresu, ze ktere mi nekdo skenoval porty? (Je mi jasny, ze to asi nejak pujde, ale po prolitnuti dokumentace k wipfw jsem to nenasel...)