Některý který kompletně monitoruje odchozí i příchozí pakety, má sand box-tj. monitoruje i všechny spuštěné procesy a služby a vazby mezi nimi, celý systém.

To co chceš není firewall, ale moloch. Proč ti dělá Sygate to co dělá nevím, může to být i nekorektním stavem systému celkově. "Firewally" - tj. aplikační firewally typu Kerio Sygate Monstrum Inc. neblokují pakety skrze služby, přes ty se spouští jen nějaké řídící funkce a možná přes ně běží celá ta aplikační část - tedy ten "sandbox", jak mu říkáš, ale pakety se většinou filtrují přes nějaký device driver, ten se ti pravděpodobně nepodařilo odstranit.

Diskuze o firewallech viz http://pc.poradna.net/question/view/45566-jaky-fire wall