Yo haría un tunel con directivas IPSEC, Open SSH etc. Eso garantiza el trafico cifrado y la identidad de quien se conecta. Además me aseguraría que la aplicación no permite inyectar código SQL en los campos de los formularios. Deshabilitaría todos los servicios windows no necesarios y usaría un fw que no fuese el de windows.

Yo he tenido durante años un servidor WEB usando SQL server en un escenario como el que tu cuentas. Usaba un firewall de inspección de estado que se llamaba 8Signs (antes Conseal). Nunca lo zumbaron, y mira que había noches que iban a por el.

Suerte
Hooker