Sieć ACL jest w rzeczywistości taka sama jak każda inna sieć komputerowa, z wyjątkiem tego, że routery i przełączniki działające w sieci mają z góry określoną listę uprawnień dostępu. Routery sieciowe otrzymują listę reguł, zwaną listą kontroli dostępu (ACL), które mogą zezwalać na podstawowy dostęp do lub z segmentu sieci, jak również na dostęp do usług, które mogą być przez nie dostępne. Podczas gdy ACL może być używana w innych usługach komputerowych, takich jak uprawnienia użytkownika do dostępu do plików przechowywanych na komputerze, w przypadku sieci ACL reguły są stosowane do interfejsów sieciowych i portów, przez które przechodzą dane komunikacyjne.
Gdy pakiety danych przechodzą przez kontrolowane porty urządzenia sieciowego w sieci ACL, są one filtrowane i oceniane pod kątem uprawnień. W większości przypadków dzieje się tak na routerze lub przełączniku sieciowym. Jednak niektóre programy zapory wbudowane w system operacyjny mogą być również postrzegane jako forma listy kontroli dostępu. Gdy pakiet danych wchodzi do interfejsu urządzenia sieciowego lub opuszcza go, jest oceniany pod kątem uprawnień przez porównanie z listą ACL. Jeśli te uprawnienia nie zostaną spełnione, pakiet zostanie odrzucony.
Lista ACL składa się z wpisów kontroli dostępu (ACE). Każdy wpis ACE na liście zawiera istotne informacje o uprawnieniach dla pakietów wchodzących lub wychodzących z interfejsu sieciowego ACL. Każdy wpis ACE będzie zawierał oświadczenie zezwolenia lub odmowy, a także dodatkowe kryteria, które pakiet musi spełnić. W większości przypadków pakiety są oceniane w oparciu o popularne standardy protokołów internetowych (IP), takie jak Transmission Control Protocol (TCP), User Datagram Protocol (UDP) i inne w pakiecie. Spośród najbardziej podstawowych typów list ACL sprawdzany jest tylko adres początkowy, podczas gdy w rozszerzonej liście ACL można ustanowić reguły sprawdzające adresy początkowe i docelowe, a także określone porty, z których ruch pochodzi i jest przeznaczony.
W sieci ACL listy kontrolne są tworzone w routerach i przełącznikach sieciowych. Każdy dostawca sprzętu sieciowego może mieć osobne reguły dotyczące sposobu tworzenia listy ACL. Niezależnie od tego, który producent sprzętu lub programista stworzył oprogramowanie przetwarzające pakiety na liście ACL, najważniejszym aspektem wdrażania sieci ACL jest planowanie. W przypadku złego planowania jest całkowicie możliwe, że administrator zaloguje się do konkretnego routera, zacznie wdrażać listę ACL na tym routerze i nagle straci dostęp do tego routera lub jakiegoś segmentu całej sieci.
Jedna z najczęstszych implementacji sieci ACL jest wbudowana w firmowy internetowy system operacyjny (IOS) stworzony przez Cisco Systems®. W routerach i przełącznikach Cisco® IOS lista ACL jest wpisywana ręcznie przez administratora i jest wdrażana automatycznie po dodaniu każdego elementu na liście. Lista ACL musi być implementowana przyrostowo, tak aby gdy pojedynczy pakiet pasował do wpisu, reszta, która podlega tym samym uprawnieniom, może podążać za nim. Wszelkie zmiany na liście oznaczają, że należy ją w całości przepisać.
Chociaż nie jest tak bezpieczna jak zapora do ochrony sieci, lista ACL jest przydatna jako dodatek do zapory w wielu scenariuszach. Administrator może ograniczyć ruch do iz pewnych obszarów większej sieci lub uniemożliwić całkowite opuszczenie sieci przez ruch pochodzący z określonych adresów. Pakiety mogą być monitorowane w sieci ACL w celu zlokalizowania problematycznych obszarów w sieci, identyfikacji hostów, które zachowują się niewłaściwie lub śledzenia komputerów klienckich, które mogą być zainfekowane wirusem, który próbuje się rozprzestrzeniać. Lista ACL może być również użyta do określenia ruchu, który musi być szyfrowany między węzłami w sieci.