Se você tem um orçamento para isso, um orçamento decente adequado, então você deve investigar a possibilidade de hospedar seus próprios servidores, em colocation.
Então você terá controle total sobre a rede, o roteamento e o firewall, bem como os servidores. Você seria capaz de organizar a conectividade de trânsito e peering (conforme necessário), mas o mais importante, você seria capaz de usar um mecanismo de mitigação de DDoS baseado na nuvem , conhecido como provedor "clean pipe" .
Dito isso, você pode fazer isso da maneira como está, dependendo do que o seu host dedicado permitirá que você faça. - Eu não procurei muito, mas suspeito que você precisaria encontrar um host que permitisse que você utilizasse um firewall dedicado para se conectar ao serviço de pipe limpo.
A Clean Pipe basicamente é onde o tráfego para você é encapsulado (com GRE) para um provedor de serviços na nuvem (que tem MUITA largura de banda), e firewall e filtrado, antes de ser enviado de volta à sua rede.
A mitigação de DDoS é notoriamente difícil, porque geralmente quando o tráfego chega até você, já está saturado o link para o seu servidor, então a única coisa a fazer é ter seu provedor de serviço bloqueando-o quando chegar a sua borda.