В соответствии с RFC 2709, основными аспектами операций IPSec-NAT являются:

Устройство NAT применяет правила безопасности на основе локальной области адресации.

Правила безопасности задают конечную точку туннеля IPSec. Пакет IPSec может подвергнуться различным видам преобразований, в зависимости от конечной точки туннеля.

IPC-NAT нуждается в уникальном наборе преобразований NAT для каждого набора правил безопасности. IPC-NAT выполняет преобразование адреса совместно с обработкой IPSec и различными способами для различных соединяемых сторон, в соответствии с правилами безопасности.

Действия, выполняемые устройством IPC-NAT, отличаются от действий шлюза IPSec, не поддерживающего NAT, следующим образом (цитата из RFC 2709):

Устройство IPC-NAT применяет правила безопасности на основе локальной области адресации. Обычный шлюз IPSec применяет правила безопасности на основе единственной области адресации (Интернета).

Базовыми элементами модели безопасности IPC-NAT являются: отображение адресов (и других определений параметров NAT) совместно с правилами безопасности и атрибутами SA. Базовые элементы обычного шлюза IPSec ограничиваются только правилами безопасности и атрибутами SA.

Заключение Протокол Идентифицирующий заголовок IP (IP Authentication Header — АН) обеспечивает сохранность данных (называемую в спецификациях сохранностью, независимой от соединения — connectionless integrity), удостоверение происхождения данных и защиту от повторения. Последнее не является обязательным и определяется получателем после установления ассоциации безопасности. АН может быть использован совместно с ESP.

Протокол Вложенные защищенные передаваемые данные IP (IP Encapsulating Security Payload — ESP) может обеспечить конфиденциальность (шифрацию), ограниченную конфиденциальность потока данных, не зависящую от соединения сохранность данных, удостоверение происхождения, данных и защиту от повторения. В ESP должна быть реализована одна из этих возможностей.