Listy ACL określają zestaw reguł, pozwalający na kontrolę nad pakietami wchodzącymi do interfejsu wejściowego, przechodzącymi przez router oraz wychodzącymi przez interfejs wyjściowy routera. Nie są wykonywane żadne działania na pakietach, wygenerowanych przez sam router.
Skonfigurowane listy ACL można przypisać do obsługi ruchu przychodzącego lub wychodzącego z routera, jak pokazano na rysunku.
- Wejściowe listy ACL (Inbound ACLs) - pakiety przychodzące do routera są przetwarzane przed wysłaniem ich przez proces routingu do interfejsu wyjściowego. Takie podejście jest bardziej efektywne, ponieważ pozwala zaoszczędzić zasoby routera w przypadku, gdy pakiet ma zostać odrzucony. Jeśli test przejdzie pomyślnie, zostaje skierowany do procesu routingu. Wejściowe ACL najlepiej spełniają swoje zadanie w sytuacji, gdy sieć dołączona do interfejsu wejściowego jest jedynym źródłem pakietów, które mają być filtrowane.
- Wyjściowe listy ACL (Outbound ACLs) - pakiety wchodzące do routera są w pierwszej kolejności kierowane przez proces routingu do interfejsu wyjściowego a dopiero potem są przetwarzane przez wyjściową listę ACL. Takie podejście jest najbardziej użyteczne w sytuacji, gdy te same reguły filtrowania mają być zastosowane do pakietów przychodzących z wielu interfejsów wejściowych, zanim opuszczą interfejs wyjściowy.
Na końcu każdej listy ACL umieszczona jest niejawna odmowa. Wpis ten jest automatycznie dodawany na końcu każdej listy ACL nawet wówczas, gdy nie został jawnie ustawiony. Niejawna odmowa powoduje odrzucenie całego ruchu. Z tego powodu listy ACL, które nie posiadają co najmniej jednej reguły, będą blokować cały przechodzący przez nie ruch.