Geralmente, os roteadores de borda (AFAIK) são usados como uma solução para proteger os ataques DDOS de entrada .
Para impedir que os clientes internos "participando inadvertidamente" em um ataque de saída , eu consideraria as formas pelas quais um DDOS pode "envolver" seus clientes.
Por exemplo, buracos no WordPress são frequentemente usados; por isso, se seus clientes são servidores Web que executam o WordPress, mantenha-os atualizados (e / ou um WAF na frente deles). Certifique-se de que suas políticas de segurança sejam sensatas, mantidas e aplicadas - vi muitas caixas comprometidas e silenciosamente usadas como partes de ataques DDOS. O monitoramento da integridade de arquivos é sensível e regular (melhor automatizado!) Monitoramento de contas de usuário do sistema, etc.
Se seus clientes são desktops / laptops, então as regras de firewall antivírus e sane (locais) são um começo óbvio, além de bloquear qualquer coisa insano em sua camada de comutação central ( Frequentemente, a transmissão é necessária para uma grande variedade de coisas e provavelmente parte de um DDOS - elas geralmente são direcionadas ["uni" cast], mas sua rede realmente precisa passar tráfego UDP > porta 1000? Ou pacotes ICMP com um carga útil grande ou a uma taxa > 10 por segundo por porta?) ajudará.
O treinamento e a restrição do usuário também são sensatos - quem acessou esses dispositivos? Eles podem instalar o que quiserem de onde quiserem?
Finalmente, apenas um pequeno monitoramento sensato da taxa de transferência da rede. Nós usamos o Zabbix, mas há muitas opções por aí. Eu peguei mais de uma tentativa de DDOS de saída devido a um súbito pico inexplicável na E / S da rede ... Um pouco de cuidado ao configurar alertas quando as coisas saem do que você considera "normal" por um período prolongado de tempo é raramente uma má ideia.