ACL网络实际上与任何其他计算机网络一样，只是网络上运行的路由器和交换机遵循预定的访问权限列表。网络路由器被赋予一个称为访问控制列表（ACL）的规则列表，该列表可以允许对网段进行基本访问或从网段进行访问，也可以允许访问可通过路由器访问的服务。虽然ACL可用于其他计算机服务，例如访问存储在计算机上的文件的用户权限，但在ACL网络的情况下，这些规则应用于通信数据通过的网络接口和端口。

当数据包通过ACL网络的网络设备上的受控端口传输时，会对其进行过滤和权限评估。在大多数情况下，这发生在网络路由器或交换机上。但是，一些内置于操作系统中的防火墙程序也可以看作是访问控制列表的一种形式。当数据包进入或离开网络设备上的接口时，通过对照ACL检查来评估其权限。如果不满足这些权限，数据包将被拒绝旅行。

ACL由访问控制条目（ACE）组成。列表中的每个ACE都包含有关进入或离开ACL网络接口的数据包权限的相关信息。每个ACE将包含许可或拒绝声明，以及数据包需要满足的附加标准。在大多数情况下，数据包是根据通用的Internet协议（IP）标准进行评估的，例如传输控制协议（TCP）、用户数据报协议（UDP）和套件中的其他标准。在最基本的ACL类型中，只检查原始地址，而在扩展ACL中，可以建立规则来检查原始地址和目标地址以及流量源于和目的地的特定端口。

在ACL网络中，控制列表建立在网络路由器和交换机中。对于ACL的构造方式，每个网络硬件供应商可能有单独的规则。无论哪个硬件制造商或软件开发人员创建了针对ACL处理数据包的编程，实现ACL网络最重要的方面是规划。在规划不当的情况下，管理员完全有可能登录到特定路由器，开始在该路由器上实施ACL，然后突然发现自己被锁定在该路由器或整个网络的某个部分之外。

最常见的ACL网络实现之一内置于Cisco Systems®创建的专有网络间操作系统（IOS）中。在Cisco®IOS路由器和交换机上，ACL由管理员手动键入，并在添加列表中的每个项目时自动实现。ACL需要以增量的方式实现，这样，当单个数据包匹配一个条目时，属于相同权限的其余数据包也可以这样做。对列表的任何更改都意味着需要重新键入整个列表。

虽然在保护网络方面不如防火墙安全，但ACL在许多情况下除了防火墙之外还是很有用的。管理员可以限制进出较大网络某些区域的通信量，或者阻止源自某些地址的通信量全部离开网络。可以在ACL网络中监视数据包，以便定位网络上的问题区域、识别行为不正常的主机或跟踪可能感染了试图传播的病毒的客户端计算机。ACL还可用于指定网络上节点之间需要加密的通信量。