Как вы упомянули, IPSEC - ваш лучший выбор для трафика SQL (порт 1433) и SSL для веб-трафика (порт 443).
IPSEC можно включить с помощью групповой политики в Active Directory.
Мои знания об IPSEC ограничены, но я считаю, что зашифрованный трафик помещается в туннель, который затем проходит через другой порт.
Когда IPSEC затем включается, трафик через порт 1433 может бытьблокируется через ACL или межсетевой экран, что обеспечивает полную безопасность вашего трафика SQL.
Если у вас есть возможность самостоятельно настраивать групповую политику, эта ссылка может оказаться полезной.
http://www.petri.co.il/configuring_ipsec_policies_through_gpo.htm