Regras de proteção contra ameaças de firewall para SSH/SFTP

Um firewall pode melhorar a segurança de um serviço SFTP por meio da inspeção de solicitações recebidas (por exemplo, para bloquear quaisquer comandos SSH que não são necessários ao usar apenas SFTP?

Contexto

Recentemente, encontrei uma VM em nossa propriedade que possui um IP público para expor SFTP (ou seja, SSH; não FTPS) e um serviço HTTPS à Internet.

Estou procurando colocar o site por trás do Gateway de Aplicativo do Azure, executando o descarregamento de SSL e, em seguida, roteando a solicitação para a VM de back-end internamente por HTTP.

Como os serviços SFTP e HTTPS compartilham o mesmo nome de host, terei que apontar que, no Firewall do Azure, roteie solicitações na porta 22 para a VM e solicitações em 80/443 para o gateway do aplicativo (solicitações em 80 receberão apenas um HTTP 301 redireciona para o endpoint HTTPS; aqueles em 443 serão roteados para o back-end conforme descrito acima).

Como estamos colocando um firewall entre o público e a VM seria bom usá-lo para melhorar ainda mais a segurança... Já ele só encaminhará na porta 22 para a VM, então isso é uma vitória (por exemplo, bloquear RDP), e ele nos dá opções como lista branca de IP do cliente (embora para nosso caso de uso isso não seja desejado, pois poderíamos ter conexões legítimas de qualquer lugar).

No entanto, estou querendo saber se há algo como as regras OWASP para o firewall do gateway de aplicativo usa para HTTP, que poderia inspecionar o tráfego SSH e bloquear qualquer coisa que pareça suspeita.

Meu palpite é que não há, pois o SSH usará criptografia RSA com chaves conhecidas apenas pela VM e pelo cliente; não o firewall... mas eu não me aprofundei muito no SFTP/SSH, então pode haver opções que eu não pensei que melhorariam ainda mais a segurança da solução?