IP安全协议，不是一个单独的协议，而是一组开放协议的总称，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括网络安全协议Authentication Header(AH)和Encapsulating Security Payload (ESP)协议、密钥交换协议Internet Key Exchange (IKE)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。

IPSec协议在特定的通信方之间提供数据的机密性、完整性保护，并能对数据源进行验证。IPSec使用IKE进行协议及算法的协商，并采用由IKE生成的密码来加密和验证。IPSec用来保证数据包在互联网上传输时的机密性、完整性和真实性。IPSec在IP层提供这些安全服务，对IP及所承载的数据提供保护。这些服务是通过两个安全协议AH和ESP，通过加密等过程实现的。这些机制的实现不会对用户、主机或其他互联网组件造成影响；用户可以选择不同的加密算法，而不会对实现的其他部分造成影响。

IPSec提供的网络安全服务具有以下特点：

• 机密性—IPSec在传输数据包之前将其加密，以保证数据的机密性；
• 完整性—IPSec在目的地要验证数据包，以保证该数据包在传输过程中没有被替换；
• 真实性—IPSec端要验证所有受IPSec保护的数据包；
• 抗重演—IPSec防止了数据包被捕捉并重新投入到网上，即目的地会拒绝老的或重复的数据包；它通过与AH或ESP一起工作的序列号机制来实现。

IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、机密性和真实性，这些协议还规定了如何加密数据包。使用IPSec，数据就可以在公网上传输，而不必担心数据被监视、修改或伪造了。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关主机之间的保护。

IPSec定义了两个新的数据包头增加到IP包，这些数据包头用于保证IP数据包的安全性。这两个数据包头由AH和ESP规定。AH将插到标准IP包头后面，它保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了安全的哈希算法来对数据包进行保护。AH没有对用户数据进行加密。ESP将需要保护的用户数据进行加密后再封装到IP包中，ESP可以保证数据的完整性、真实性和机密性。

IPSec有隧道模式和传输模式两种工作方式。在隧道模式中，用户的整个IP数据包被用来计算ESP头，且被加密，ESP头和加密用户数据被封装在一个新IP数据包中；在传输模式中，只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头，ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时，必须采用隧道模式。

由于IPSec工作在Internet上，接受和传输设备需要共享公钥，这需要通过一个称为ISAKMP/Oakley(Internt Security Association and Key management Protocol/Oakley)的协议来完成，这个协议允许消息接受者获得发送者的公钥，来验证发送者的数字签名的合法性，以建立安全的通讯。