Der Encapsulating Security Payload (ESP) dient der Verschlüsselung von IP-Datenpaketen und benutzt ebenso wie der Authentication Header (AH) als Algorithmus den Hash-Based Message Authentication Code (HMAC).
Der ESP-Header verwendet kryptografische Verfahren wie den Data Encryption Standard (DES) und verschlüsselt alle Daten, die zwischen dem ESP-Header und dem ESP-Trailer liegen. Am Ende eines Datenpakets kann optional ein ESP-Authentifikationsblock für zusätzliche Authentizität sorgen.
Der Encapsulating Security Payload, der in RFC 2406 spezifiziert ist, authentifiziert im Transportmodus nur den IP-Inhalt, nicht aber den IP-Header. Dieser Modus wird vor allem innerhalb eines sicheren Netzwerks eingesetzt.
Im Tunnelmodus wird dagegen der IP-Header verschlüsselt, um interne Adressinformationen vor unberechtigtem Zugriff zu schützen. Dieser Modus ist im IPsec-Framework für das sichere Tunneling zwischen zwei Firewalls bei Virtual Private Networks (VPN) vorgeschrieben.