Vamos voltar um pouco ...
Os ataques DDoS envolvem centenas ou milhares de máquinas zumbis na Internet que enviam tráfego para sua máquina (geralmente mais rápido que o servidor OU os uplinks do ISP podem processar).
A parte importante aqui é que milhares de zumbis enviando tráfego em sua máquina podem consumir 50Mpbs ou muito mais, dependendo do ataque. Se o tráfego de DDoS for maior que a largura de banda do seu provedor, nenhum firewall no planeta poderá ajudá-lo. Você tem que trabalhar com seus provedores de upstream para rastrear as fontes e desligar seu tráfego. Isso pode levar dias.
Algumas pessoas tentam usar o DNS para resolver esse problema (usando NAT de vários provedores e alterando seu registro DNS A durante um ataque); essa nem sempre é a melhor solução, já que os zumbis geralmente re-resolvem o DNS de tempos em tempos para ter certeza de que estão atingindo o alvo certo.
Se você está simplesmente lidando com situações de DDoS que são menores do que o uplink de seu ISP, compre o Cisco ASA que pode manipular a largura de banda do uplink de ISP que você possui.