特徴

IP層以上で動作するすべてのプロトコルをまとめて保護できる
　HTTPS などと違い、ひとつのアプリケーション毎に、ひとつの暗号化通信経路を使わないので、たくさんのアプリケーションプロトコルが入り乱れた状態のIP経路を丸ごと保護できます。

暗号化通信経路は、媒体に依存せずすべて保護される
　レイヤー1・レイヤー2の媒体に依存しません。つまり、PHS -> ISDN -> Internet -> Ethernet のような伝送路でも、上でIPプロトコルが動いていれば、保護されるということです。

ユーザーは特に意識することなく利用できる
　普段、ルーターの存在を気にしながらインターネットをしないのと同様に、ユーザーからは、あくまでも「あるべき経路」として見えます。

異なるベンダーの異なる機器間における、相互運用に配慮した設計になっている
　このため、ルーター間のVPNに使われる事が多いのです。

暗号化アルゴリズムを特定しない
　DES-CBC 以外の暗号化アルゴリズムをオプション扱いとしているため、将来、暗号が破られたとしても、暗号アルゴリズム部分以外は仕様の使いまわしが効く設計になっています。

システムのIPSEC以外の部分がセキュアでないとだめ
　IPSec以外の部分に穴があれば、そこから侵入されるかもしれません。当然ですね。

end-to-end の暗号化ではない
　基本的に2つのIP機器間の暗号化ですので、たとえば2つのルーター間のみをトンネリングするIPSecでは、最寄のルーターよりも自分側と、最遠ルーターよりも相手側にある経路については保護できません。

なんでもできるわけではない
　上位プロトコルのすべての機能をを提供するわけではありません。たとえば、特定の人物のための電子証明書が必要なら、それは、別の機能として実装する必要があるということです。

ユーザーではなくマシンを認証する
　IPSecは、マシン間通信については強力な認証システムを使用しますが、ユーザーIDの概念は持っていません。たとえば、データベースのユーザー認証には、IPSec以外で機構が必要です。IPSecは、接続の制御と、そこでの通信が安全になされるようします。それがすべてです。ユーザー毎のアクセス制限や、データベース認証などは、通信する両者間で、IPSecから独立して行ってください。

DoS は防げない
　DoS攻撃はシステムクラッシュや過負荷、サービスの停止を目的に行われます。
　IPSecにはこの攻撃を防ぐための機能は実装されていません。（あたりまえですね）

トラフィック解析は防げない
　IPSec は、IPプロトコルの上に成り立つVPNです。
　したがって、トンネリングモード時はスタートポイントとエンドポイントのIPアドレスが、また、トランスポートモード時にはパケットの発信元と目的地のIPアドレスがIPパケットに直接書かれています。
　IPアドレスが分かるということは、セキュリティーホールを突かれたり、流量の測定をされることくらいはありうるということです。