klassische firewalls dagegen sind paketfilter auf der ebene des tcp/ip stacks, wo sie verbindungen nur auf vorher festgelegten ports rein und/oder raus lassen.
Und die Windows Firewall macht das?
Bisher hatte ich da eine andere Meinung...
Ausserdem möchte ich beides: Nur bestimmte Ports freigeben und diese dann zusätzlich nur für berechtigte Programme freigeben. Die Gefahr des 'Maskierens' besteht natürlich - denn, wie ja schon oben so schön illustriert: Kein Firewall ist 100% sicher.
Naja, meine Firewall hier macht immerhin für jedes berechtigte Program gleich noch 'nen CRC-Check beim Zugriff, damit wird der Zugriff 'maskierter' Programme etwas eingeschränkt. Bedeutet aber auch, dass ich nach jedem Firefox-Update wieder einmal auf 'ja, das Program darf das' klicken muss 
100%ige Sicherheit bietet nur das durchtrennte Kabel...