W poprzednim przykładzie, administrator sieci skonfigurował listę ACL, zezwalającą użytkownikom z sieci 192.168.10.0/24 na przeglądanie stron internetowych zarówno w wersji standardowej (HTTP), jak i bezpiecznej (HTTPS). Jadnak pomimo, że lista ACL została utworzona, ruch nie jest filtrowany dopóki nie będzie ona powiązana z interfejsem. Aby zastosować listę ACL na interfejsie, należy najpierw rozważyć, w jakim kierunku chcemy filtrować ruch, wchodzącym do interfejsu czy wychodzącym z niego. Gdy użytkownik z sieci lokalnej wysyła żądanie dostępu do strony WWW w Internecie, ruch taki jest ruchem wyjściowym, skierowanym na zewnątrz sieci LAN. Kiedy użytkownik sieci wewnętrznej odbiera wiadomość email z serwera w Internecie, ruch taki jest ruchem przychodzącym z zewnątrz do lokalnego routera. Jednakże, w przypadku określania kierunku powiązania listy ACL z interfejsem, pojęcia wejściowy (in) i wyjściowy (out), mają różne znaczenia. Z punktu widzenia listy ACL, określenia ruch wejściowy i wyjściowy zależą do interfejsu routera, na którym tą listę stosujemy.
W topologii przedstawionej na rysunku, router R1 posiada trzy interfejsy , jeden interfejs szeregowy S0/0/0 oraz dwa interfejsy Gigabit Ethernet G0/0 i G0/1. Przypomnijmy, że rozszerzone listy ACL powinny zazwyczaj być mapowane jak najbliżej źródła. W tej topologii interfejsem najbliższym źródła jest interfejs G0/0.
Pakiety żądań stron WWW generowane przez użytkowników sieci LAN 192.168.10.0/24 są traktowane jako ruch wejściowy na interfejsie G0/0. Z kolei ruch powrotny skierowany do użytkowników sieci LAN, będący odpowiedzią na wcześniejsze żądania, jest ruchem wychodzącym z interfejsu G0/0. Przykład przedstawia przypisanie list ACL do interfejsu G0/0 w obu kierunkach. Wejściowa lista ACL 103 sprawdza typ ruchu. Wyjściowa lista ACL 104, kontroluje ruch powrotny pochodzący z ustanowionych połączeń. W ten sposób dostęp do Internetu jest ograniczony, dozwolona jest tylko możliwość przeglądania stron WWW.
Uwaga: Niniejsze listy ACL można również zastosować na interfejsie S0/0/0, lecz wtedy sprawdzaniu podlegałyby wszystkie pakiety wchodzące do routera, nie tylko te z i do sieci 192.168.10.0. Mogłoby to spowodować niepotrzebne obciążenie routera.