Un gateway di sicurezza è un sistema che agisce come gateway di comunicazione fra sistemi esterni “untrusted->non degni di fiducia” e gli host “trusted” della propria rete. Una sottorete “trusted” è formata da host e router che hanno fiducia nel fatto che nessun membro della propria sottorete effettuerà un attacco, e che il livello di comunicazione sottostante non è sotto attacco.
Un gateway che sta fornendo servizi di sicurezza ad uno o più host della propria rete è responsabile di stabilire una security association per i propri host. In questo caso solo il gateway ha bisogno di implementare AH e/o ESP mentre tutti i sistemi sottostanti il gateway usufruiscono dei servizi di sicurezza tra il gateway ed i sistemi esterni.
In ambienti che utilizzano gateway di sicurezza, questi devono filtrare i pacchetti IP in base all’indirizzo, scartando i pacchetti non autenticati, sebbene provenienti da un sistema che utilizza la IP security.
La crittografia gateway-to-gateway è utilizzata per costruire reti private virtuali lungo una dorsale non protetta, come Internet. Ciò viene fatto escludendo gli estranei, attraverso la crittografia. Ciò non sostituisce una crittografia host-to-host, ma spesso la accompagna.
Se lungo la connessione non ci sono gateway di sicurezza, allora i due sistemi terminali possono usare ESP per crittografare solo i dati utente; infatti ESP è stato progettato con la massima flessibilità, cosicché è possibile scegliere il tipo di sicurezza desiderato.