我說一下防火牆的工作原理吧
假設 A 是我方電腦, B 代表網路上所有的電腦 (包含 ISP)

假設 A 沒有發送要求訊息出去, 而 B 主動將訊息要求給 A
這種時候 firewall 就會黨掉這個封包
原因是有可能 hacker 藉由 TCP scan 方式掃描進來

但 A 內部若藏有 spyware (像是 gain 這類)
變成 A 端主動發送要求出去給 B 端
這種時候 firewall 不動作
你可以想像成當連上網路時
使用 IE 打一個網址如 www.pcdvd.com.tw
然後執行時, A 端發送要求給 ISP, 轉給 DNS, 送達到 www.pcdvd.com.tw 主機
然後 pcdvd 主機將 homepage 送給 A 端
由於是 A 先主動發送給 pcdvd (B 端),
故防火牆不會攔截由 pcdvd 主機送來的 homepage
否則你會什麼也看不到

說了那麼多希望能了解
spyware 程式能自由的進出 firewall
這是因為他的立場正如同 IE 一樣
是不會被防火強檔起來的