建設的な書き方すると
1.外から直接sshやsshポートフォワーディングしたいなら開けるしかないが本来vpnで一旦入ってからが無難(後述)
※というかその使い方しか、できない時点で設計を見直したほうが良い。
その場合「自動ブロックは必須。adminの無効化必須。鍵認証のみに変更することとポート変更は強く推奨」する。
※理由は、世界中に22を叩きまくるbotがすごい数いるから。私の蜜壺には1時間数百オーダーでアクセスが来ている。
他にはsudoresを正しく設定すること。sshd_configの編集をミスると結構苦労するのでご慎重に。

2.vpn経由でアクセスする(推奨)
この場合はfirewallでsshポートへの接続許可をLocal networkからのみに設定しておく。
※もうこれだけで鉄板なのであとは省略する。
ただし、こちらの場合もSynologyVPN(RTシリーズ)を使う場合であってもちゃんと自動ブロックはすること。
ブルートフォース対策していない機器はすぐやられちゃいますよ。