Beim Einsatz von IPSec im Proxy-Modus (IPSec auf einem Proxy-Host (Firewall oder Router))
wird der Netzverkehr mehrerer Rechner durch den
Proxy-Host geschleust, bevor er an nicht vertrauenswürdige Rechner weitergeleitet wird.
Der Zielrechner verfügt selbst über IPSec-Unterstützung, oder die Nachrichten werden
ebenfalls vorher durch einen IPSec-unterstützten Proxy-Host geleitet.
Hierfür muß nur bei wenigen Routern (min. 2) IPSec installiert und
konfiguriert werden. Der Vorteil liegt an der Ersparnis von
Konfigurationsaufwand. Die Komplexität der Schlüsselverwaltung
darf i.a. nicht unterschätzt werden.
In diesem Einsatzbeispiel ist sie im Vergleich sehr gering,
da die Schlüssel nur den Proxy-Hosts zugeordnet werden müssen.
Für IPSec-Proxies kommt der Transport-Mode und der Tunnel-Mode in Frage.
Im Transport-Mode enthält jedes IP-Paket die Adresse des eigentlichen
Ursprungs- und Zielrechners. Dazu muß das Proxy-Gerät die richtige Sicherheitsassoziation
in einem Platzhaltermodus auf die Nachrichten anwenden, da eine Vielzahl von
Endpunktrechnern über eine einzige Sicherheitsassoziation angesprochen werden.
Im Tunnel-Mode werden die eigentlichen Rechneradressen im ESP-Header übertragen
und die Sicherheitsassoziation wird eindeutig zwischen den einzelnen Proxy-Rechnern
eingerichtet.
Ein weiteres Beispiel ist ein Standortzugang für VPN und öffentliche Dienste. Das Ziel besteht darin, sowohl VPN-Verbindungen als auch ungeschützte Verbindungen zu öffentlichen Internet-Standorten zu unterstützen. Um eine sichere Kommunikation zu ermöglichen werden Firewall-Produkte mit IPSec-Verschlüsselung eingesetzt. Dabei bieten IPSec-Firewalls Kontrollmechanismen durch Paketfilter, Circuit-Filter oder Anwendungs-Proxies.