¿Necesitaría un firewall interno, externo y residente en el host para cada cliente POS?
Tiene múltiples áreas de preocupación con los ataques de DOS / DDOS. Si son externos, pueden llenar la "tubería" en su ISP antes de que lo alcancen. Eso significa que nada en el interior (firewalls internos, capa 7, agujeros negros) evitará la pérdida de paquetes incluso antes de que lo alcancen. Para mitigar esto, debe ponerse en contacto con su ISP y ellos tendrán protecciones (siendo Kona la de Akamai; hay otras).
Internamente, un firewall de capa 7 debería tener protecciones contra esto. La mayoría de los trabajos de la capa 7 con detección "DPI" y "con estado", lo que significa que si obtiene un paquete que no tiene sentido para el flujo de comunicación, se bloqueará. También cortará las conexiones para loris lentos y otros ataques comunes.
¿Cómo utiliza internet su pequeña subred? ¿Qué se requiere para permitir el ingreso? ¿Puede configurarlo en "proxy abierto a medias", lo que significa que se permite cualquier cosa para iniciar una conexión, pero todas las solicitudes de conexión entrantes están bloqueadas? Solo eso debería resolver este problema siempre y cuando la inundación de paquetes no sea más que la "tubería" de su ISP.
Lea otras preguntas en las etiquetas firewalls denial-of-service