Ett ACL-nätverk är egentligen precis som alla andra datornätverk, med undantaget att routrarna och switcharna som körs på nätverket följer en förutbestämd lista med åtkomstbehörigheter. Nätverksroutrarna ges en lista med regler, en så kallad access control list (ACL), som kan tillåta grundläggande tillträde till eller från ett nätverkssegment samt tillstånd att komma åt tjänster som kan vara tillgängliga genom dem. Medan en ACL kan användas i andra datortjänster, såsom användarbehörighet att komma åt filer som är lagrade på en dator, tillämpas reglerna på nätverksgränssnitten och portarna som kommunikationsdata går igenom i fallet med ett ACL-nätverk.
När datapaket färdas genom kontrollerade portar på en nätverksenhet i ett ACL-nätverk, filtreras och utvärderas de för behörigheter. I de flesta fall sker detta på en nätverksrouter eller switch. Vissa brandväggsprogram inbyggda i ett operativsystem kan dock också ses som en form av åtkomstkontrolllista. När ett datapaket går in i eller lämnar ett gränssnitt på nätverksenheten, utvärderas det för dess behörigheter genom att kontrolleras mot ACL. Om dessa behörigheter inte uppfylls nekas paketet resa.
En ACL består av åtkomstkontrollposter (ACE). Varje ACE i listan innehåller relevant information om behörigheter för paket som kommer in i eller lämnar ACL-nätverksgränssnittet. Varje ACE kommer att innehålla antingen ett tillstånds- eller avslagsuttalande, såväl som ytterligare kriterier som ett paket måste uppfylla. I de flesta fall utvärderas paket baserat på vanliga Internetprotokollstandarder (IP) såsom Transmission Control Protocl (TCP), User Datagram Protocol (UDP) och andra i sviten. Av de mest grundläggande typerna av ACL kontrolleras endast ursprungsadressen, medan i en utökad ACL kan regler fastställas som kontrollerar ursprungs- och destinationsadresserna samt de specifika portar som trafiken både härstammar från och är destinerad till.
I ett ACL-nätverk byggs kontrolllistorna upp inom nätverksroutrar och switchar. Varje nätverkshårdvaruleverantör kan ha separata regler för hur en ACL måste konstrueras. Oavsett vilken hårdvarutillverkare eller mjukvaruutvecklare som skapat programmeringen som bearbetar paket mot en ACL, är den viktigaste aspekten för att implementera ett ACL-nätverk planering. I fall av dålig planering är det fullt möjligt för en administratör att logga in på en viss router, börja implementera en ACL på den routern och plötsligt finna sig själv utelåst från den routern eller något segment av ett helt nätverk.
En av de vanligaste implementeringarna av ACL-nätverk är inbyggd i det proprietära Internetwork Operating System (IOS) skapat av Cisco Systems®. På Cisco® IOS-routrar och switchar skrivs ACL in manuellt av en administratör och implementeras automatiskt när varje objekt i listan läggs till. ACL måste implementeras stegvis, så att när ett individuellt paket matchar en post, kan resten som faller under samma behörigheter följa efter. Eventuella ändringar i listan innebär att den måste skrivas om i sin helhet.
Även om den inte är lika säker som en brandvägg för att skydda ett nätverk, är en ACL användbar utöver en brandvägg för ett antal scenarier. En administratör kan begränsa trafiken till och från vissa områden i ett större nätverk eller förhindra att trafik som kommer från vissa adresser lämnar nätverket helt och hållet. Paket kan övervakas i ett ACL-nätverk för att lokalisera problemområden i nätverket, identifiera värdar som beter sig felaktigt eller spåra klientdatorer som kan vara infekterade med ett virus som försöker sprida sig. En ACL kan också användas för att specificera trafik som behöver krypteras mellan noder på nätverket.