La única razón real para evitar que una red sea enrutable a través de un firewall es asegurarse de que esté aislada del acceso no autorizado externo e interno. Es imposible para alguien hackear un sistema si no hay una ruta física para que los electrones viajen desde su posición hasta la posición del sistema objetivo. Al desconectar los cables que conectan los sistemas de destino con el resto del mundo, esto garantiza que no haya una ruta física.
Sin embargo, esto reduce drásticamente la funcionalidad de la red y la facilidad de uso, ya que tendría que estar en una ubicación física específica para interactuar con cualquiera de las máquinas de destino. Cuanto más seguro es algo, más difícil es usarlo y menos funcionalidad tiene.
Si el entorno de prueba no necesita acceso a Internet, lo mejor / lo más fácil sería simplemente no conectarlo al firewall. Simplemente cree una subred de prueba, ponga todos los servidores en ella y conéctelos a todos en un conmutador. Todos los servidores podrán comunicarse entre sí y, como no hay conexión física al firewall, es imposible que alguien que no tenga acceso físico al conmutador o los servidores acceda a ellos.
Si el entorno de prueba necesita acceso a Internet, yo todavía crearía una zona de red para ellos (igual que arriba) pero en el firewall me aseguraré de que haya una regla de denegación para cualquier tráfico destinado al entorno de prueba. Dado que cualquier firewall que he visto fabricado en los últimos 5 años tiene la inspección de estado activada de forma predeterminada y la mayoría de ellos ni siquiera tienen una opción para desactivarla, esto permitirá a los servidores acceder a Internet y el tráfico que regresa en ese mismo puerto se permitirá.
Dependiendo de lo que significan exactamente "seguro y privado", el segundo escenario es el que tiene más probabilidades de implementarse en la práctica real, ya que casi todo necesita llegar a Internet para la administración remota y los parches. Sin embargo, el primer escenario es el "más seguro y privado".