Una red ACL es realmente como cualquier otra red informática, con la excepción de que los enrutadores y conmutadores que se ejecutan en la red se adhieren a una lista predeterminada de permisos de acceso. Los enrutadores de red reciben una lista de reglas, llamada lista de control de acceso (ACL), que puede permitir la admisión básica hacia o desde un segmento de red, así como el permiso para acceder a los servicios que pueden estar disponibles a través de ellos. Si bien una ACL se puede usar en otros servicios informáticos, como el permiso del usuario para acceder a los archivos almacenados en una computadora, en el caso de una red ACL, las reglas se aplican a las interfaces de red y los puertos por los que viajan los datos de comunicación.
A medida que los paquetes de datos viajan a través de puertos controlados en un dispositivo de red de una red ACL, se filtran y evalúan los permisos. En la mayoría de los casos, esto ocurre en un enrutador o conmutador de red. Sin embargo, algunos programas de firewall integrados en un sistema operativo también pueden verse como una forma de lista de control de acceso. Cuando un paquete de datos entra o sale de una interfaz en el dispositivo de red, se evalúan sus permisos comparándolo con la ACL. Si no se cumplen esos permisos, se deniega el viaje del paquete.
Una ACL se compone de entradas de control de acceso (ACE). Cada ACE de la lista contiene la información pertinente sobre los permisos para los paquetes que entran o salen de la interfaz de red ACL. Cada ACE contendrá una declaración de permiso o denegación, así como los criterios adicionales que deberá cumplir un paquete. En la mayoría de los casos, los paquetes se evalúan según los estándares comunes del protocolo de Internet (IP), como el Protocolo de control de transmisión (TCP), el Protocolo de datagramas de usuario (UDP) y otros de la suite. De los tipos más básicos de ACL, solo se verifica la dirección de origen, mientras que en una ACL extendida, se pueden establecer reglas que verifiquen las direcciones de origen y destino, así como los puertos específicos desde los que el tráfico se originó y a los que está destinado.
En una red ACL, las listas de control se crean dentro de los enrutadores y conmutadores de la red. Cada proveedor de hardware de red puede tener reglas independientes sobre cómo se debe construir una ACL. Independientemente de qué fabricante de hardware o desarrollador de software creó la programación que procesa los paquetes contra una ACL, el aspecto más importante para implementar una red de ACL es la planificación. En casos de mala planificación, es totalmente posible que un administrador inicie sesión en un enrutador en particular, comience a implementar una ACL en ese enrutador y, de repente, se encuentre bloqueado de ese enrutador o de algún segmento de una red completa.
Una de las implementaciones de red ACL más comunes está integrada en el Sistema Operativo Internetwork (IOS) patentado creado por Cisco Systems®. En los enrutadores y conmutadores Cisco® IOS, un administrador escribe manualmente la ACL y se implementa automáticamente a medida que se agrega cada elemento de la lista. La ACL debe implementarse de forma incremental, de modo que a medida que un paquete individual coincide con una entrada, el resto que se encuentra bajo los mismos permisos puede seguir su ejemplo. Cualquier cambio en la lista significa que es necesario volver a escribirla en su totalidad.
Si bien no es tan seguro como un firewall para proteger una red, una ACL es útil además de un firewall para varios escenarios. Un administrador puede limitar el tráfico hacia y desde ciertas áreas de una red más grande o evitar que el tráfico que se origina en ciertas direcciones abandone la red por completo. Los paquetes se pueden monitorear en una red ACL para ubicar áreas problemáticas en la red, identificar hosts que se comportan de manera incorrecta o rastrear computadoras cliente que pueden estar infectadas con un virus que está intentando propagarse. También se puede utilizar una ACL para especificar el tráfico que debe cifrarse entre los nodos de la red.