Wi-Fi CPE：现已明确适用于所有类型的AP、网关及家庭路由器产品。任何具备路由、NAT或数据包过滤功能的Wi-Fi产品均被归类为CPE。

IP Router：适用于所有包括SDN, 云原生网络功能（CNF）, 虚拟网络功能（VNF）类型，以及所有部署模式的路由器。所有IPv4要求均也适用于IPv6。

对称加密：至少采用 AES-128 及以上算法；

传输加密：禁用弱协议，HTTPS 需基于 TLS 1.2+，Wi-Fi 默认启用 WPA2-PSK（AES-128+）并兼容 WPA3，彻底禁用 WEP；

认证要求：加密模块需满足 FIPS 140-2 + 相关规范，提供算法合规声明。

权限管理：强制支持 RBAC 角色授权，IP 路由器至少划分 3 类角色，Wi-Fi CPE 至少 2 类（拆分设备需 3 类）；

身份认证：特权用户仅允许本地登录，远程管理需双因素认证，密码长度≥8 位且含 4 类字符，首次登录强制修改；

安全限制：无未披露访问通道，禁用共享账号，会话超时可配置（最长 15 分钟）

禁用清单：FTP、Telnet、SNMP v1/v2 等不安全服务必须彻底禁用；

更新机制：软件更新需通过数字签名加密验证，若验证失败，则不得执行或安装被篡改的软件；

漏洞处置：按 CVSS 评分分级修复 —— 超危漏洞立即修复，高危1个月内，中危3个月内、低危1年内完成，且源码需通过OWASP/CWE 漏洞校验。

日志要求：本地存储至少 2 天，覆盖登录、配置变更、漏洞触发等 18 类核心事件，支持导出；

攻击防护：需内置 DDoS、过载保护、防欺骗等防护机制，Wi-Fi 设备额外要求 KRACK 漏洞防护与 SSID 安全管理。