L'unica vera ragione per evitare che una rete sia instradabile attraverso un firewall è assicurarsi che sia isolata sia da accessi non autorizzati che interni. È impossibile per qualcuno infiltrarsi in un sistema se non esiste un percorso fisico per gli elettroni che viaggiano dalla loro posizione alla posizione del sistema di destinazione. Scollegando tutti i cavi che collegano il (i) sistema (i) di destinazione al resto del mondo, ciò garantisce che non ci sia un percorso fisico.
Ciò tuttavia riduce drasticamente le funzionalità e la facilità d'uso della rete poiché è necessario trovarsi in una posizione fisica specifica per interagire con uno qualsiasi dei computer di destinazione. Più è sicuro, più è difficile da usare e meno funzionalità ha.
Se l'ambiente di test non ha bisogno dell'accesso a Internet, la cosa migliore / più semplice da fare sarebbe semplicemente non collegarlo affatto al firewall. Basta creare una sottorete di test, inserire tutti i server e inserirli tutti in un interruttore. Tutti i server saranno in grado di comunicare tra loro e poiché non c'è alcuna connessione fisica al firewall è impossibile per chiunque non abbia accesso fisico allo switch o ai server per accedervi.
Se l'ambiente di test necessita di accesso a Internet, creerò comunque una zona di rete per loro (come sopra) ma nel firewall mi assicurerei che ci sia una regola di negazione per qualsiasi traffico destinato all'ambiente di test. Dal momento che qualsiasi firewall che ho visto fabbricato negli ultimi 5 anni ha un'ispezione statica attivata per impostazione predefinita e la maggior parte di loro non ha nemmeno un'opzione per disabilitarlo, questo consentirà ai server di raggiungere Internet e il traffico in arrivo su quella stessa porta sarà permesso.
A seconda di cosa significano esattamente "sicuri e privati", il secondo scenario è il più probabile da implementare nella pratica reale poiché quasi tutto deve raggiungere Internet per la gestione remota e le patch. Il primo scenario è il "più sicuro e più privato".