Riscos de segurança
O SSH opera em uma porta bem conhecida. Você pode reduzir o número de ataques criminosos mudando para um número de porta obscuro (mas note que a obscuridade não é segurança). Esses ataques são um incômodo que preenche arquivos de logs e usa recursos.
O maior risco é permitir a autenticação de senha no SSH. A maioria das tentativas de invasão tenta milhares de combinações de nomes de usuários populares ("root", "john" etc) e senhas populares. Mais cedo ou mais tarde eles vão adivinhar corretamente. A melhor solução é permitir somente logins baseados em chave e restringir logins a uma lista específica de IDs de usuário.
Port Forwarding vs DMZ
Alguns fornecedores de roteadores usaram mal o termo DMZ para significar encaminhamento de porta curinga. Estritamente falando, um DMZ é um segmento de LAN isolado em que você coloca servidores voltados para o público. Se esses servidores forem tomados por criminosos, os criminosos ainda não terão acesso à sua LAN interna (onde você guarda dados confidenciais ou valiosos). Eu usaria tanto o encaminhamento de porta quanto um DMZ verdadeiro, sempre que possível.
Tunelling para SSH sem encaminhamento de porta.
A única maneira é configurar um túnel invertido para um ponto de encontro externo.