Først den lette del:klienten har ikke brug for nogen indgående forbindelse, da den ikke modtager nogen forbindelse (den laver dem), så du kan sikkert blokere alt indgående.
Nu til de udgående. Selve serveren behøver kun TCP adgang i den port, den lytter til, så hvis du har en fast port, åbner du bare den (som standard 1433 for en standardforekomst), og du er godt i gang.
Men da du bruger dynamiske porte, er opsætningen lidt sværere. Grundlæggende betyder "dynamisk port", at serveren lytter på en "tilfældig" port, hver gang den starter, og SQL-browsertjenesten fortæller klienterne, hvilken port der lytter til hver instans (dette er standardopsætningen for navngivne instanser).
Så til dette skal du først tillade udgående forbindelser til SQL-browseren, som lytter på UDP 1434 . Nu skal du også bruge den normale serverforbindelse som før, som stadig er på TCP , men denne gang er porten ukendt (da den er tilfældig). Så den mest restriktive regel, du kan lave, er højst at tillade alle TCP-porte, måske også filtreret efter klientprogram (f.eks. ssms.exe) eller af enhver anden parameter, som din firewall understøtter.