Không giống như chế độ Transport, chế độ Tunnel bảo vệ toàn bộ gói IP. Toàn bộ gói IP được đóng gói vào trong một gói IP khác và tiêu đề IPSec được chèn vào giữa tiêu đề IP gốc và tiêu đề IP mới. Trong chế độ này, khái niệm đường hầm được áp dụng.
Với giao thức ESP thì gói dữ liệu gốc trở thành gói dữ liệu tải cho gói ESP mới và kết quả là cả mã hóa cũng như xác thực được thực thi nếu được chọn. Tuy nhiên, tiêu đề IP mới vẫn không được bảo vệ.
Hình 2.13: IPSec – chế độ Tunnel
Chế độ Tunnel được sử dụng bởi các Getway. Như vậy, giữa 2 firewall chế độ Tunnel luôn được dùng cho luồng thông tin đang lưu chuyển qua các firewall giữa các mạng an toàn qua một đường hầm IPSec.
Mặc dù các Getway được hỗ trợ chỉ với chế độ Tunnel, thông thường chúng vẫn có thể làm việc được trong chế độ Transport. Chế độ này được cho phép khi Getway hoạt động như một Host, đó là trường hợp luồng thông tin được giành riêng cho chính nó. Ví dụ: các lệnh SNMP, hoặc các yêu cầu báo lại ICMP.
Trong chế độ Tunnel các địa chỉ IP của tiêu đề ngoài không cần phải giống với các địa chỉ của tiêu đề bên trong. Ví dụ, hai getway bảo mật có thể thực hiện một đường hầm AH có xác thực tất cả các luồng thông tin giữa các mạng chúng kết nối cùng nhau.
Ưu điểm của chế độ Tunnel là nó bảo vệ tất cả gói IP đã được đóng gói và khả năng sử dụng các địa chỉ riêng. Tuy nhiên, có một quá trình xử lý Overhead nhiều hơn bình thường gắn liền với chế độ này