Hmm, Ich verstehe nicht ganz wieso es zum Schutz vor DOS Attacken denn unbedingt eine Hardware Firewall sein muss? Letzlich ist das auch nichts weiter als ein kleiner Prozessor auf dem eine fest eingespeicherte Software läuft die die Pakete nach bestimmten Regeln überprüft.
Es ist richtig das bei einem guten Firewall Konzept die eigentliche Firewall auf einem von den zu schützenden Rechnern unabhängigen System läuft, aber hier geht es ja nur darum, einen Server abzusichern.
Ob man nun also eine Hardware oder Software Firewall einsetzt ist deshalb meiner Meinung nach egal.
So wie ich das sehe besteht ein DOS Angriff entweder daraus mittels Exploit (z.b. ausgenutze Sicherheitslücke im OS) den betreffenden Dienst zu killen, oder durch Überlastung (z.b dauerne aufwendige Suchanfragen an ein Forum und Flooding aller Art) den Server in die Knie zu zwingen.
Eine Firewall kann unter Umständen helfen einen DOS Angriff abzuschwächen (Connection-Limits), ist bei Exploits aber wirkungslos.
Fazit: Gegen Exploits immer fleissig patchen, nur benötigte Dienste installieren, gut konfigurierte (sagt sich leicht *g*) Firewall installieren und dazu noch ein IDS System um DOS Attacken möglichst früh zu erkennen und zu verfolgen.