Só lembrando que um "Firewall Hardware" não é suficiente para suportar ataques. É necessário um alto link com os ISPs, além de uma boa estrutura de rede por trás.. Não é somente adicionar um "Firewall Hardware" na rede que você vai começar a suportar ataques, geralmente esses firewall cisco que a Limestone oferece para adicionar nos dedicados, não é para suportar ataques, e sim aumentar a segurança da rede. Com autenticação dos usuários, um controle maior da rede, prevenção de invasão e etc. Adicionar um Cisco ASA na rede não vai fazer você suportar 10gb de ataque com 1gb de link.
O tráfego do IP protegido passa por rota diferente, passando pela rede Blacklotus (Empresa responsável pela mitigação DDoS) primeiro, e depois chegando na rede da Limestone. IPs sem proteção tem uma rota direta com a Limestone.
Valeu
@OP
Creio que você trabalhe com revenda na Limestone, caso queira barrar os ataques, o certo mesmo é pegar os IPs protegidos, e caso algum IP sem proteção for atacado, a Limestone aplicará o nullroute e estará tudo resolvido. Caso não for revenda, use somente o IP protegido, que fica tudo certo.
Como os outros membros disseram, realmente, limitar a banda da VM não vai adiantar muita coisa.