Rysunek przedstawia logiczną ścieżkę decyzyjną używaną przy filtrowaniu ruchu przez rozszerzoną listę ACL, z wykorzystaniem adresów źródłowych i docelowych, protokołów i numerów portów. W podanym przykładzie, lista ACL dokonuje najpierw filtrowania na podstawie adresu źródłowego, dalej portu i protokołu źródłowego. Następnym krokiem jest filtrowanie na podstawie adresu docelowego, potem docelowego portu i protokołu i ostatecznie podjęcie decyzji co do przepuszczenia lub odrzucenia pakietu.
Przypomnijmy, że poszczególne wpisy ACL przetwarzane są jeden za drugim, więc ewentualny brak dopasowania nie oznacza automatycznie odrzucenia pakietu. Podczas śledzenia całej ścieżki decyzyjnej, zauważ, że decyzja odmowna ('Nie') oznacza po prostu przejście do następnego wpisu, dopóki warunek dopasowania nie zostanie spełniony.