Zuerst der einfache Teil:Der Client benötigt keine eingehende Verbindung, da er keine Verbindung empfängt (er stellt sie her), sodass Sie sicher alle eingehenden Verbindungen blockieren können.
Nun zu den Ausgehenden. Der Server selbst benötigt nur TCP Zugriff auf den Port, den es abhört, wenn Sie also einen festen Port haben, öffnen Sie ihn einfach (standardmäßig 1433 für eine Standardinstanz) und Sie können loslegen.
Da Sie jedoch dynamische Ports verwenden, ist die Einrichtung etwas schwieriger. Grundsätzlich bedeutet "dynamischer Port", dass der Server bei jedem Start einen "zufälligen" Port und den SQL-Browserdienst abhört teilt Clients mit, auf welchem Port jede Instanz lauscht (dies ist die Standardeinstellung für benannte Instanzen).
Dazu müssen Sie also zuerst ausgehende Verbindungen zum SQL-Browser zulassen, der auf UDP 1434 lauscht . Nun benötigen Sie auch wie bisher die normale Serververbindung, die immer noch auf TCP liegt , aber diesmal ist der Port unbekannt (da er zufällig ist). Die restriktivste Regel, die Sie aufstellen können, besteht also höchstens darin, alle TCP-Ports zuzulassen, möglicherweise auch gefiltert nach Client-Programmen (z. B. ssms.exe) oder nach anderen Parametern, die Ihre Firewall unterstützt.