急，应用程序访问控制问题

想完成防火墙的基本功能，如果已经能够从网络层ndis截获数据包，如何能够对上层应用程序进行控制？

还是要制定两套规则，应用层规则和IP层规则？

因为在NDIS层已经能够截获所有的网络封包，如果再在应用层进行一次ip地址，port的比对，可能会作重复的工作， 请教可否在网络层对所有的ip包头进行比较，应用层只是通过hook socket函数的到应用程序的名字，这样能不能达到预定的效果？如果不行，该如何实现？谢谢