Правильно ли я понимаю назначение и принцип работы брандмауера?

Он при работе
- в Интернет
- еще в каких-то случаях??

принципиально запрещает: вход извне в конкретный PC и запуск установленных на ней программ.

Однако за счет настройки брандмауера имеется возможность сделать исключения для:
- определенных программ и служ (н-р доступ к файлам и принтерам) -> ввод новых программ и служб разрешен,
- определенных операций / команд входящих в список ICMP (н-р, возврат эха при пинге) - > список исчерпывающий.

В чем необходимость таких исключений и к чему это может привести?
Можно ли проиллюстрировать примерами?

Имеет смысл глянуть эту тему (хотя бы синонимы еще узнаешь): FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы (http://forum.oszone.net/thread-28570.html)
Они есть разного уровня и с разными возможностями. Общая цель - защита от паразитного сетевого трафика, остальное - частности. Правила насьройки экрана - это отдельная песня, сложноописываемая в двух словах, но в инете много уже статей на эту тему. Суть одно - эти настройки не статичны, они - живые. В противном случае либо страдает функцианальность защищяемой системы, либо пропускаются угрозы, которые могли бы быть заблокированы правильной настройкой.