Hasonlóan a normál ACL-hez, a kiterjesztett ACL is képes forgalomszűrésre forráscím alapján, továbbá lehetőséget biztosít a célcím, a protokoll és a portszám szerinti vizsgálatra is. Ez nagyobb rugalmasságot enged a hálózati rendszergazdák számára a szűrendő forgalom típusának kiválasztásában és az ACL elhelyezésében. Az alapszabály a kiterjesztett ACL esetében az, hogy legyen minél közelebb a forráshoz. Ez megakadályozza a nemkívánatos forgalom keresztülhaladását az egész hálózaton, amelynek a végén az egyébként is eldobásra kerülne.

A hálózati rendszergazda csak az általa felügyelt eszközökön tud ACL-eket elhelyezni, ezért a hozzáférési listák elhelyezését a felügyeleti kör figyelembe vételével kell megtervezni. A példában az "A" vállalat rendszergazdája, akihez a 192.168.10.0/24 és a 192.168.11.0/24 hálózat tartozik (rövidítve .10 és .11 a későbbiekben), felügyelni kívánja a "B" vállalat felé tartó forgalmat. Konkrétan, tiltani akarja a .11 hálózatból a "B" vállalat 192.168.30.0/24 hálózatába (.30 a továbbiakban) tartó Telnet és FTP csomagokat. Ugyanakkor, minden más forgalmat engedélyezni kell a .11 hálózatból, amely az "A" vállalatot elhagyja.

Ezen célok végrehajtásának többféle módja van. Egy R3-on elhelyezett, Telnet és FTP forgalmat blokkoló kiterjesztett ACL megoldaná a feladatot, de a rendszergazdának nincs jogosultsága az R3 felügyeletéhez. Ráadásul, ebben az esetben a nem kívánt forgalom keresztülhalad az egész hálózaton, és csak a célnál kerül blokkolásra, amely hatással van az egész hálózat teljesítményére.

Jobb megoldás egy kiterjesztett ACL elhelyezése az R1-en, megadva a forrás és célcímeket (.11 és .30 hálózatok), valamint érvényre juttatva a szabályt: "Tiltott a Telnet és az FTP forgalom a .11-es hálózatból a .30-as hálózatba". Az ábrán látható az R1 két lehetséges interfésze, amelyekre a kiterjesztett ACL ráilleszthető: