Avresti bisogno di un firewall interno, esterno e host-resident per ogni client POS?
Hai più aree di interesse con gli attacchi DOS / DDOS. Se sono esterni possono riempire la "pipa" del tuo ISP prima che ti raggiungano. Ciò significa che nulla all'interno (i firewall interni, il livello 7, i buchi neri) preverrà la perdita di pacchetti prima ancora che tu sia raggiunto. Al fine di mitigare questo è necessario contattare il proprio ISP e avranno protezioni (Kona è Akamai, ce ne sono altri).
Internamente, un firewall di livello 7 dovrebbe avere protezioni contro questo. La maggior parte dei layer 7 lavora con rilevamento "DPI" e "stateful", il che significa che se si ottiene un pacchetto che non ha senso per il flusso di comunicazione, verrà bloccato. Inoltre taglierà le connessioni per lenti loris e altri attacchi comuni.
In che modo la tua piccola sottorete usa Internet? Cosa è richiesto per consentire? Puoi impostarlo in "proxy half open" che significa che è permesso qualsiasi cosa per avviare una connessione, ma tutte le richieste di connessione in entrata sono bloccate? Solo questo dovrebbe risolvere questo problema fintanto che il flusso di pacchetti non è più della "pipeline" del tuo ISP.
Leggi altre domande sui tag firewalls denial-of-service