ACL tinklas iš tikrųjų yra toks pat kaip ir bet kuris kitas kompiuterių tinklas, išskyrus tai, kad tinkle veikiantys maršrutizatoriai ir jungikliai atitinka iš anksto nustatytą prieigos leidimų sąrašą. Tinklo maršrutizatoriams pateikiamas taisyklių sąrašas, vadinamas prieigos kontrolės sąrašu (ACL), kuris gali leisti pagrindinį įėjimą į tinklo segmentą arba iš jo, taip pat leidimą pasiekti paslaugas, kurios gali būti pasiekiamos per juos. Nors ACL galima naudoti kitose kompiuterių paslaugose, pvz., vartotojo leidime pasiekti kompiuteryje saugomus failus, ACL tinklo atveju taisyklės taikomos tinklo sąsajoms ir prievadams, per kuriuos perduodami ryšio duomenys.
Duomenų paketams keliaujant per valdomus prievadus ACL tinklo tinklo įrenginyje, jie filtruojami ir įvertinami leidimai. Daugeliu atvejų tai įvyksta tinklo maršrutizatoriuje arba jungiklyje. Tačiau kai kurios ugniasienės programos, integruotos į operacinę sistemą, taip pat gali būti laikomos prieigos kontrolės sąrašu. Kai duomenų paketas patenka į tinklo įrenginio sąsają arba iš jo išeina, jo leidimai įvertinami tikrinant pagal ACL. Jei šių leidimų nesilaikoma, paketui neleidžiama keliauti.
ACL sudaro prieigos kontrolės įrašai (ACE). Kiekviename sąraše esančiame ACE yra susijusi informacija apie paketų, patenkančių į ACL tinklo sąsają arba iš jos išeinančią, leidimus. Kiekviename ACE bus leidimo arba atsisakymo pareiškimas, taip pat papildomi kriterijai, kuriuos turės atitikti paketas. Daugeliu atvejų paketai vertinami remiantis bendrais interneto protokolo (IP) standartais, tokiais kaip perdavimo valdymo protokolas (TCP), vartotojo duomenų gramų protokolas (UDP) ir kiti rinkinyje esantys standartai. Iš pagrindinių ACL tipų tikrinamas tik pradinis adresas, o išplėstiniame ACL gali būti nustatytos taisyklės, kurios tikrina kilmės ir paskirties adresus, taip pat konkrečius prievadus, iš kurių kilo ir į kuriuos nukreipiamas srautas.
ACL tinkle valdymo sąrašai sudaromi tinklo maršrutizatoriuose ir jungikliuose. Kiekvienas tinklo aparatinės įrangos tiekėjas gali turėti atskiras taisykles, kaip turi būti sudarytas ACL. Nepriklausomai nuo to, kuris aparatinės įrangos gamintojas ar programinės įrangos kūrėjas sukūrė programavimą, kuris apdoroja paketus pagal ACL, svarbiausias ACL tinklo diegimo aspektas yra planavimas. Blogo planavimo atvejais administratorius gali prisijungti prie konkretaus maršruto parinktuvo, pradėti diegti ACL tame maršrutizatoriuje ir staiga atsidurti užrakintas nuo to maršrutizatoriaus arba tam tikro viso tinklo segmento.
Vienas iš labiausiai paplitusių ACL tinklo diegimų yra integruotas į patentuotą tinklo operacinę sistemą (IOS), kurią sukūrė Cisco Systems®. Cisco® IOS maršrutizatoriuose ir jungikliuose ACL rankiniu būdu įveda administratorius ir jis įdiegiamas automatiškai, kai pridedamas kiekvienas sąrašo elementas. ACL reikia diegti laipsniškai, kad atskiras paketas atitiktų įrašą, likusieji, kuriems taikomi tie patys leidimai, galėtų sekti pavyzdžiu. Bet kokie sąrašo pakeitimai reiškia, kad jį reikia įvesti iš naujo.
Nors ACL nėra tokia saugi kaip užkarda, apsauganti tinklą, jis yra naudingas be ugniasienės daugeliui scenarijų. Administratorius gali apriboti srautą į ir iš tam tikrų didesnio tinklo sričių arba neleisti srautui, kilusiam iš tam tikrų adresų, iš viso palikti tinklą. Paketai gali būti stebimi ACL tinkle, kad būtų galima rasti problemines tinklo vietas, identifikuoti netinkamai veikiančius pagrindinius kompiuterius arba susekti klientų kompiuterius, kurie gali būti užkrėsti bandančiomis plisti virusu. ACL taip pat gali būti naudojamas norint nurodyti srautą, kuris turi būti užšifruotas tarp tinklo mazgų.