IPSec使系統能選取要的安全協議、決定用的算法和密鑰來给予安全性。協議由協議的首部指出的鑑別協議和由協議的分組協議指出的加密/鑑別混合協議構成。

為了通信,每對用 IPSec的主機須在它們間建立一個安全關聯(SA)。SA將所要知道的關於如何與其他人安全通信的全部信息組合在一起,如保護類型、密鑰和該SA的有效期。若雙向的安全交換有對等的關係,就需兩個安全關聯。

可把SA當做是顺利获得公共網到某特定人、一組人或網絡資源的安全通道。就像是與位於另一端的人之間的協定。SA可構建不同類型的安全通道,如使用強度不一樣的加密。

安全關聯由參數索引、目標IP位址及協議標識符3個參數唯一標識。其中安全參數索引指的是SPI唯一地標識一個與某一安全協議的安全關聯,它被加載到AH和ESP的首部,讓接收系統可選擇SA處理接收的分組。目標IP位址即SA的目的端點地址,也許是終端用戶或網絡系統,如防火路由器、網關。安全協議標識符指出關聯是否是AH或ESP的安全關聯。

因此,在全部的IP分組中,安全關聯是由IPV4或IPv6首部的目的地址和包裝的擴展首部中的SPI來唯一標識的。IPSec給用戶非常大的靈活性,以把 IPSec的服務應用到IP通信量。可用多個方法來組合SA產生想要的用戶配置。

IPSec的協議有傳輸模式和隧道模式兩種。

傳輸模式主要保護上層協議,即涵蓋了IP分組的有效載荷,如TCP、UDP或ICMP分組。對IPv4,有效載荷一般是跟在IP首部後的數據;對IPV6，有效載荷是在IP首部和隨意存在的IPv6擴展首部後的數據,可能的例外是目的站選項首部,它也許含在保護之內。

隧道模式保護整個IP分組。為實現這點,在AH和ESP字段加入到IP分組後,整個分組加上安全字段可當做是有新的輸出IP首部的新的IP分組的有效載荷。原來的分組經過“隧道”從IP網絡的一點傳到另一點。傳輸過程中，路由器不能檢查內部的IP首部。因為原來的分組包裝後,形成的分組有不一樣的源地址和目的地址,從而提升了安全性。當SA的一/兩端是安全網關用隧道方式,如達到了 IPSec的防火牆或路由器情況。