Bir ACL ağı, ağda çalışan yönlendiriciler ve anahtarların önceden belirlenmiş bir erişim izni listesine uyması dışında, diğer tüm bilgisayar ağları gibidir. Ağ yönlendiricilerine, bir ağ kesimi üzerinden veya bunlardan erişebilecekleri hizmetlere erişim izninin yanı sıra bir ağ kesiminden temel girişe izin verebilecek bir erişim denetim listesi (ACL) adı verilen bir kurallar listesi verilir. Bir ACL, bir bilgisayarda saklanan dosyalara erişim izni gibi diğer bilgisayar hizmetlerinde, bir ACL ağı söz konusu olduğunda, kurallar, iletişim verilerinin geçtiği ağ arayüzlerine ve bağlantı noktalarına uygulanır.
Veri paketleri, bir ACL ağının bir ağ cihazındaki kontrollü portlardan geçerken, filtreler ve izinler için değerlendirilirler. Çoğu durumda, bu bir ağ yönlendiricisinde veya anahtarda gerçekleşir. Ancak, bir işletim sistemine yerleşik bazı güvenlik duvarı programları da bir erişim kontrol listesi biçimi olarak görülebilir. Bir veri paketi ağ cihazında bir arayüze girerken veya bir arayüzden ayrılırken, ACL'ye karşı kontrol edilerek izinleri için değerlendirilir. Bu izinler yerine getirilmezse paket seyahat reddedilir.
Bir ACL, erişim kontrolü girişlerinden (ACE) oluşur. Listedeki her bir ACE, ACL ağ arayüzüne giren veya çıkan paketlerin izinleri ile ilgili bilgileri içerir. Her ACE bir izin veya reddetme ifadesi ve bir paketin yerine getirmesi gereken ek kriterleri içerecektir. Çoğu durumda, paketler İletim Kontrol Protokolü (TCP), Kullanıcı Veri Birimi Protokolü (UDP) ve paket içindeki diğerleri gibi ortak İnternet protokolü (IP) standartlarına göre değerlendirilir. En temel ACL türlerinden yalnızca kaynak adres kontrol edilir, oysa genişletilmiş bir ACL'de, kaynak ve hedef adresleri ile trafiğin hem kaynaklandığı hem de hedeflendiği belirli bağlantı noktalarını kontrol eden kurallar belirlenebilir.
Bir ACL ağında, kontrol listeleri ağ yönlendiricileri ve anahtarlar içinde oluşturulur. Her ağ donanımı satıcısının bir ACL'nin nasıl yapılandırılması gerektiğine ilişkin ayrı kuralları olabilir. Hangi donanım üreticisi veya yazılım geliştiricisi, paketleri bir ACL'ye karşı işleyen programlamayı oluşturduğuna bakılmaksızın, bir ACL ağını uygulamanın en önemli yönü planlama yapmaktır. Yetersiz planlama durumunda, bir yöneticinin belirli bir yönlendiriciye oturum açması, bu yönlendiriciye bir ACL uygulamasına başlaması ve aniden kendisini bu yönlendiriciden veya tüm ağın bir bölümünden kilitlenmiş olarak bulması tamamen mümkündür.
En yaygın ACL ağ uygulamalarından biri, Cisco Systems® tarafından oluşturulan tescilli İnternet Çalışma İşletim Sistemine (IOS) inşa edilmiştir. Cisco® IOS yönlendiricileri ve anahtarlarında ACL, bir yönetici tarafından manuel olarak girilir ve listedeki her öğe eklendiğinde otomatik olarak uygulanır. ACL'nin kademeli olarak uygulanması gerekir, böylece bireysel bir paket bir girişle eşleştiğinde, aynı izinlere giren geri kalanlar da aynı şeyi yapabilir. Listede yapılacak herhangi bir değişiklik, tümüyle yeniden yazılması gerektiği anlamına gelir.
Bir ağı korumak için güvenlik duvarı kadar güvenli olmasa da, bir dizi senaryoda güvenlik duvarına ek olarak bir ACL de faydalıdır. Bir yönetici, daha büyük bir ağın belirli alanlarından gelen ve bu bölgelere gelen trafiği sınırlayabilir veya belirli adreslerden gelen trafiği ağdan tamamen uzak tutmaktan uzak tutabilir. Ağdaki sorunlu bölgeleri bulmak, uygunsuz davranan ana bilgisayarları belirlemek veya yayılmaya çalışan bir virüs bulaşmış istemci bilgisayarları izlemek için paketler bir ACL ağında izlenebilir. Bir ACL, ağdaki düğümler arasında şifrelenmesi gereken trafiği belirtmek için de kullanılabilir.
