SQL Server をハッカーから保護する方法

問題が発生しており、対処方法がわかりません。Windows 2008 R2 サーバーに SQL Server があります。この SQL Server 2005 は、インターネット上の別の場所にある別の SQL Server から DB サブスクリプションを受信するために使用されています。ファイアウォールを介して SQL Server ポートを開いていますが、スコープには別の SQL Server の IP を入力しています。そうすることで、そのポートを介した接続要求が、別の SQL Server (ファイアウォール ルールのスコープに IP がリストされている) からのもの以外は SQL Server に到達しないことを期待しました。しかし、ログを見ると、何百もの "ログインに失敗したユーザー sa" エントリがあります (そして、それらは毎秒来ています)。どうやら、何人かのハッカーがブルート フォース攻撃でユーザー sa パスワードを推測しようとしているようです。しかし、問題は、ファイアウォール スコープにリストされている IP アドレスからではないのに、Windows がこれらの要求を SQ​​L Server に到達させているのはなぜかということです。この SQL Server を保護する正しい方法は何ですか。この SQL Server に接続するために、別の SQL Server の IP 以外の IP は必要ありません。

編集 - 詳細情報:

別のマシンから SQL Server ポートで Telnet を実行しました。Telnet は、ファイアウォールのスコープに明示的に指定されているマシンから実行された場合を除いて失敗します。したがって、ファイアウォールが SQL Server ポートをブロックしているように見えます。しかし、SQL Server ログに、別の IP アドレスからのユーザー "sa" への失敗したログイン要求が表示されるのはなぜでしょうか。ハッカーがポート 80 経由でマシンに入り、何らかの方法で SQL Server に接続しようとしている可能性はありますか。ポート 80 と 443 はすべてのユーザーに開かれています。SQL Server ポート (特定の IP に対してのみ開かれています) を除いて、他のすべてのポートは閉じられています。ポート 80 の Web サーバーでは、訪問者を SQL Server に導く可能性のあるものは何もありません。実際、Web サーバーには index.html (SQL に接続されていない純粋な HTML) ファイルが 1 つだけあります。これは、将来の使用のためにセットアップされているテスト サーバーです。SQL Server にはテスト データのみがあります。

編集：

ファイアウォール トレースをオンにして、ドロップされた接続と成功した接続の両方を含めました。これですべてがトレースされます。次に、SQL Server ログに移動すると、中国のさまざまな IP アドレスからの失敗したログイン試行が表示されます。ただし、ファイアウォール ログにはこれらの IP アドレスのエントリがありません。どうしてこのようなことが起こるのでしょうか。ファイアウォールを完全にバイパスして SQL Server にアクセスできるのでしょうか。ファイアウォール ポートが開いていて、そこから侵入できる場合、ファイアウォール ログにはその IP アドレスのエントリが表示されるはずです。まったくわかりません。