there is no way that us or any other company could feasibly put hardware firewalls in all of our datacenters
Sim, sim existe. Por favor reavalie sua economia (Quanto custa um firewall? Quanto você perde por hora quando está em baixa por causa de um DDoS? Quanto dano será causado à sua reputação quando alguém encontrar uma porta RDP acidentalmente aberta? entra em alguma caixa crítica em sua rede?).
Você deve ter recursos para firewalls dedicados (redundantes) em cada datacenter - os Firewalls NÃO são caros.
O ajuste adequado do seu firewall (limitação de tráfego, formatação, etc.) ajudará a mitigar os ataques DDoS. No mínimo, oferecerá alguma proteção para seus sistemas contra worms simples ou hackers curiosos que procuram por logons remotos.
Em termos de mitigação de DoS, você pode sempre subir um degrau: o seu ISP pode encaminhar nulo os ataques não distribuídos (como você já mencionou, este é o seu processo atual - é bom) ou limite os distribuídos (embora espere que isso se torne caro se você estiver sob ataque freqüente - eles eventualmente vão cobrar por essas alterações de firewall).
Mais adiante, você pode considerar serviços como os oferecidos por Arbor Networks para proteção / atenuação de DDoS, embora esses sejam normalmente direcionados ao nível do Provedor de Serviços / ISP em vez de empresas individuais. Os preços para estas soluções tendem a ser bastante extorsivos.