интересуют утилиты аналог фаервола, со специлаизацией по типам трафика и атакам, постоянная защита не обязательна. ( сам фаервол не нужен)

Snort, статья про ПО этого класса на Wiki - http://en.wikipedia.org/wiki/Intrusion-detection_system (каким образом в примеры Untangle занесло 8) , оно ж не из этой оперы )

snort хорошая вещь, можно даже на компьютере пользователя настроить в организации и обновлять, но у меня немного были проблемы, уже не помню какие, у него есть определение какой то атаки через http и оказалось что он кодировку русскую не понимает просто, ну вощем всё нужно нудно и долго настраивать.

вирусный трафик или флуд железа, кто чем диагностирует?

если только такой вопрос, понять что происходит, в данный момент времени,
смотрим в сторону снифера, (выбор их большой)
посмотрите тут например http://www.securitylab.ru/software/1220/
( я использовал обычно tcpdump, Wireshark (ранее Ethereal),

а про Snort ( это Системы обнаружения вторжения)
сам Snort - достаточно интересен,
но могу посоветовать еще посмотреть на различный подобный софт
смотреть тут => http://www.securitylab.ru/software/1222/

p.s. анализирую, и просматривая удавалсь найти и зараженные машины, и заметить вирус на пк который антивирус не видел и тд