A1:一般來說防火牆並不負責『密碼錯誤』『嘗試過多』這種判斷的，因為那是由伺服器的某種『服務』來決定。
一般windows作業系統而言，server的作業系統並不像XP作業系統一般，server本身是提供服務的，所以如果你去安裝windows server你會發現，他沒有XP的『內建防火牆』這玩意兒，預設安裝情況下是『全開放』，以 server 本身而言，要控管的部份就屬『windows帳號』的『權限』與『政策』這兩種。
關於你說的論壇登入次數過多的控管，並不屬於此類，它僅是由論壇的服務(例如 IIS + PHP) 裡面的程式碼來管理登入狀態，所以防火牆根本管不到，因為它不屬於網路架構中的設計，而是網頁開發的設計。
防火牆需要做的是『限制』不必要的外部請求，或是將特定請求轉往特定伺服器。
簡單的比喻：
你的伺服器提供 WEB服務(posrt:80)、FTP 服務(port:21)以及允許遠端桌面連線(port:3389)。
正常的情況下，你只允許外部使用者來存取 WEB、FTP ，遠端桌面是留給內部網路使用，此時你的對外防火牆理應只開啟port 80 和 port 21 給 outside anyone 進入，並導向該 Server 。而內部遠端桌面的部份，如前面所言只要有該 server 的帳號，你都可以由內部連上該 server 的遠端桌面。
之後，你若決定 FTP 僅能由某些 IP 由外部連入 你就必須增加 port 21 的 outside 規則，加入僅允許的來源IP。
※防火牆不僅可以規劃 『外到內』的規則，也可以設定『內到外』的規則喔。例如禁止公司內部的人上某些網站或是IM之類的。

A2:如果你要模擬 DoS Attack 的話可以建議你用 jakarta-jmeter 這套壓力測試軟體，到網路上可以找到相關文章，注意最好在封閉網路內使用，否則產生出來的封包流量會讓你的 HUB (如果有的話)承受不住的。

A3：如果你要從防火牆上的連線表來找出惡意攻擊其實也不容易，一般而言要先從 Server 上的 logger 來判斷屬於哪一類的攻擊，然後找出可疑的 IP ，再到防火牆上設定阻止 outside 的來源 IP。
不過這種方法並不算妥當，首先會做 DoS Attack 的 IP 多是殭屍電腦，所以 IP 有可能換來換去，而你的規則有可能"加"不完。所以如果防火牆有偵瞬間封包流量的功能可以將它打開，並設定時間區段和到達封包量，達到後便發通知給特定電腦作為紀錄用。在去分析其攻擊行為。
會這樣做是因為某些三層式架構的 ERP 其瞬間流量也會很高有可能會被誤判成 DoS Attack 如果未查明就直接阻斷該 IP 就會導致該 ERP 當掉喔。

小小的建議，請大大參考

1.防止遠端登入win server，不知道是不是指遠端桌面，windows 能設定登入幾次密碼錯誤就將帳戶停用，所以這是一種方法。

2.另外，能遠端登入的ip應該是要被控管的，所以在防火牆設一條 允許遠端的ip。

1+2 應該就夠應付遠端登入的問題。

至於阻斷服務，有可能是針對開放性的服務，像 web、ftp、mail 或是任何開放性的port
這樣子的測試工具在google都找的到，但請不要用大陸網站的軟體，因為很有可能會讓你還沒下載就先中毒。

以上供大大參考