A coisa mais segura a fazer é o que você está fazendo agora (supondo que você tenha certeza de que nada seria "encaminhamento" de tráfego entre as placas de rede e o PC é seguro), mas copie as atualizações de firmware para o seu sistema da rede "link local" em que o PC e os instrumentos estão ligados). Dessa forma, o dispositivo pode obter suas atualizações do PC e não precisa conectar-se à rede.
Fora isso, você precisará conectar o dispositivo à rede, mas colocar um firewall muito restritivo na frente dele. Você também pode aproveitar as facilidades NAT de um roteador de consumidor ou os recursos de compartilhamento de conexão com a Internet (ICS) do Windows.
Se o PC for um sistema Windows, você poderá compartilhar a conexão de Internet do seu PC com o ICS e, em seguida, conectar a interface ativada por DHCP do instrumento ao seu PC. O ICS usa o NAT, portanto nenhuma comunicação não solicitada pode alcançar os instrumentos, mas os instrumentos podem alcançar o exterior. Configurações semelhantes com o Linux são possíveis, ou você pode obter um roteador do consumidor, configurar o NAT e colocá-lo entre o seu instrumento e a rede da empresa.