インターネット上における送信データに対してセキュリティとして暗号化を施せば、第三者が「傍受」しようとしても内容を解読できないようになる。だがこの暗号化だけでは「なりすまし」やデータの「改ざん」といった別の脅威には対応できない。

そこで、これら「傍受」「なりすまし」「改ざん」を防止できる総合的な仕組みがまとめられた。それが「IPsec」である。アプリケーションに依存しないネットワークセキュリティを実現する手段として開発され、データを送受信する際に第三者が関われないようにさまざまな工夫がなされている。

技術的には、主に以下の三つの要素が組み合わされている。

1.AH (Authentication Header)
認証を行うヘッダで、送受信者を特定する。また、送信するデータ本体に手が加えられていないかどうか（完全性）を確認する。

2.IKE (Internet Key Exchange)
インターネットで暗号鍵を安全に交換したり共有したりするための取り決め（プロトコル）である。

3.ESP (Encapsulated Security Payload)
送信するデータ本体（ペイロード）部分の暗号化（カプセル化）を行う。

なお、ESPにはAHと同じく認証のためのトレイラー機能があるため、AHがなくてもESPとIKEだけで同様の役割を果たすことができる。実際、現在国内で利用されている「IPsec-VPN」ではこの方式が一般的である。

ただしAHを持たない「IPsec-VPN」は、IPヘッダについての認証セキュリティが甘い。そのため、より安全にVPNを使いたい場合には「SSL-VPN」という選択肢もある。

IPsecには、パケットのデータだけに処理を行う「トランスポート」とヘッダを含めたパケット全体に処理を行う「トンネル」の二つのモードがある。

1.トランスポートモード
IPのヘッダは何も変更せず、パケット内のデータのみを暗号化（認証）する。その後、ESPによってカプセル化を行い、これに元のIPヘッダを付けて送信を行う。つまり元のIPヘッダの情報には特にセキュリティが施されない。

トランスポートモードの場合、あらかじめ送受信両者がIPsecに対応している必要がある。
 

2.トンネルモード
IPのヘッダも含めてパケット全体を暗号化（認証）する。その後、さらに新たにIPヘッダを用意して送信を行うが、送り先はゲートウェイである。つまり元のIPヘッダの情報は隠されており、セキュリティが強化される。送信されると一度ゲートウェイがパケットを受け取り、パケット全体をESPによってカプセル化し、さらに新たにIPのヘッダを用意してから受信先へと送信する。VPNはこのトンネルモードを利用している。

トンネルモードの場合、送受信の経路にあるルータなどがIPsecに対応していれば、送受信両者がIPsecに対応していなくても利用できる。