关于NAT过滤的问题请教

我要实现这样一个功能：
在Win2000的NAT机器上装一个过滤器，（现在是双网卡使用WIN2000的Internet共享连接的NAT），过滤掉非法的HTTP图像。

我有一套XFilt的个人防火墙源代码，

一开始我考虑到自己组TCP包，然后判断后决定包是否回送，但是发现解TCP太复杂了。
于是我考虑到从IP层获得HTTP GET头后，在应用层把这个URL抓过来，判断之后在决定该HTTP GET头是否通过，这样就有一个驱动和应用程序通信的问题。

那种方法最可行？或者还有什么更可行的方法？只要可以实现NAT和过滤就可以。

如果用Sygate的话，SPI管用么？