Acho que você está ouvindo muita conversa de marketing.
Não há diferença real entre o que você chama de firewall de hardware e software. Ambos são movidos por software.
O chamado firewall de hardware também é um computador, mas sem algumas interfaces periféricas como USB ou SATA. Alguns deles até executam Linux e IPTables sob o capô, mas fornecem uma boa interface web. Outros fornecem seu próprio sistema operacional que, na minha opinião, pode ter menos recursos e não ser mais testado do que o iptables.
Então, há algum bom motivo para comprar um "firewall de hardware"? bem talvez. Geralmente eles são bem suportados e fornecem uma interface de usuário muito polida e um bom suporte. Eles também parecem muito elegantes no seu rack. No entanto, agora existem distribuições linux / freebsd realmente refinadas que fornecem a mesma coisa e você pode executá-las em um computador normal ou em um hardware personalizado. por exemplo. Untangle, Astaro, Monowall, pfSense etc, eu não vejo uma vantagem tão grande.
Agora, quando se trata de um anexo de DDoS, não há absolutamente nenhuma maneira de protegê-lo. Se você pudesse evitar que esses pacotes fossem enviados na fonte, essa seria a resposta, mas você não pode.
Há alguns anos, lembro-me de um caso em que uma grande empresa causou um tumulto no mundo da TI e, em alguns dias, seu site foi invadido por um ataque DDoS. No final, eles tiveram que abandonar seu nome de domínio principal e mudá-lo para outro nome. Mesmo eles não podiam fazer muito com o grande orçamento de TI.