Em geral, você deve nunca abrir qualquer coisa da Internet para um servidor de produção, a menos que seja um serviço que você deseja que o público use. Se a máquina for um servidor da Web, somente a porta 80 deverá estar aberta para ela. Se nenhuma outra porta estiver aberta através do firewall, não há como um invasor entrar.
Uma VPN seria a melhor solução, exigindo que os usuários autentiquem e acessem os sistemas de produção somente a partir do dentro . Uma VPN é muito mais flexível e segura do que qualquer outro método.