O rețea ACL este într-adevăr la fel ca orice altă rețea de computere, cu excepția faptului că routerele și comutatoarele care rulează în rețea aderă la o listă predeterminată de permisiuni de acces. Routerelor de rețea li se oferă o listă de reguli, numită listă de control al accesului (ACL), care poate permite admiterea de bază către sau de la un segment de rețea, precum și permisiunea de a accesa serviciile care pot fi disponibile prin intermediul acestora. În timp ce un ACL poate fi utilizat în alte servicii informatice, cum ar fi permisiunea utilizatorului de a accesa fișierele stocate pe un computer, în cazul unei rețele ACL, regulile sunt aplicate interfețelor de rețea și porturilor prin care circulă datele de comunicație.
Pe măsură ce pachetele de date călătoresc prin porturi controlate pe un dispozitiv de rețea al unei rețele ACL, ele sunt filtrate și evaluate pentru permisiuni. În cele mai multe cazuri, acest lucru se întâmplă pe un router sau un comutator de rețea. Cu toate acestea, unele programe firewall integrate într-un sistem de operare pot fi văzute și ca o formă de listă de control al accesului. Când un pachet de date intră sau iese dintr-o interfață pe dispozitivul de rețea, acesta este evaluat pentru permisiunile sale prin verificarea cu ACL. Dacă aceste permisiuni nu sunt îndeplinite, pachetului i se refuză călătoria.
Un ACL este compus din intrări de control al accesului (ACE). Fiecare ACE din listă conține informații relevante despre permisiunile pentru pachetele care intră sau ies din interfața de rețea ACL. Fiecare ACE va conține fie o declarație de autorizare, fie o declarație de refuz, precum și criterii suplimentare pe care trebuie să le îndeplinească un pachet. În cele mai multe cazuri, pachetele sunt evaluate pe baza standardelor comune de protocol Internet (IP), cum ar fi Transmission Control Protocl (TCP), User Datagram Protocol (UDP) și altele din suită. Dintre cele mai elementare tipuri de ACL, este verificată doar adresa de origine, în timp ce într-un ACL extins pot fi stabilite reguli care verifică adresele de origine și destinație, precum și porturile specifice din care a provenit și către care este destinat traficul.
Într-o rețea ACL, listele de control sunt construite în cadrul routerelor și comutatoarelor de rețea. Fiecare furnizor de hardware de rețea poate avea reguli separate pentru modul în care trebuie construit un ACL. Indiferent de ce producător de hardware sau dezvoltator de software a creat programarea care procesează pachetele împotriva unui ACL, cel mai important aspect al implementării unei rețele ACL este planificarea. În cazurile de planificare proastă, este absolut posibil ca un administrator să se conecteze la un anumit router, să înceapă să implementeze un ACL pe acel router și să se trezească brusc blocat de acel router sau de un anumit segment al unei întregi rețele.
Una dintre cele mai comune implementări de rețea ACL este încorporată în sistemul de operare Internetwork (IOS) proprietar creat de Cisco Systems®. Pe routerele și switch-urile Cisco® IOS, ACL este introdus manual de un administrator și este implementat automat pe măsură ce fiecare element din listă este adăugat. ACL-ul trebuie implementat în mod incremental, astfel încât, pe măsură ce un pachet individual se potrivește cu o intrare, restul care se încadrează în aceleași permisiuni să poată urma exemplul. Orice modificare a listei înseamnă că aceasta trebuie reintrodusă în întregime.
Deși nu este la fel de sigur ca un firewall pentru protejarea unei rețele, un ACL este util pe lângă un firewall pentru o serie de scenarii. Un administrator poate limita traficul către și dinspre anumite zone ale unei rețele mai mari sau poate împiedica traficul care provine de la anumite adrese să părăsească complet rețeaua. Pachetele pot fi monitorizate într-o rețea ACL pentru a localiza zonele cu probleme din rețea, pentru a identifica gazdele care se comportă incorect sau pentru a urmări computerele client care pot fi infectate cu un virus care încearcă să se răspândească. Un ACL poate fi folosit și pentru a specifica traficul care trebuie criptat între nodurile din rețea.