Ну я не говорил что любой фаервол использует драйвер.
Во первых чтобы "кодить" драйверы нужен DDK - driver development kit (microsoft)
Там компилятор, либы, все хидеры с описаниями ф-ий и структур из ntoskrnl.exe,
типа Ps---
Вообще можно сделать подобие фаервола так - перехвати connect()
и проверяй в обработчике, можно ли тек. процессу коннектицца) хорошая защита)

я кстати перехватом send() снифаю траффик... способ неплохой...