Почему бы не настраивать внутренний прокси, чтобы проксировать тест com:765 и т.д. с virtualhost и добавить это к proxy.pac?
Самый безопасный путь не состоял бы в том, чтобы поднять трубку SQL-серверы непосредственно к рабочей сети вообще и использовать (физически или логически) отдельная сеть базы данных вместо этого. Тем не менее брандмауэр должен быть совершенно достаточным, как joeqwerty указанный.
Один протест к подходу брандмауэра состоит в том, что, так как именованные каналы используют стандартные механизмы Windows RPC и поэтому соединяются по портам 139 и 445, Вы можете испытать затруднения при блокировании этих портов, не влияя на другой трафик. (Вы почти наверняка не хотите эти порты, открытые для просто никого так или иначе, но внимательно наблюдаете за исключениями в Ваших сетях управления при необходимости в них.)