ACL mreža je zapravo kao i svaka druga računalna mreža, s iznimkom da se usmjerivači i prekidači koji rade na mreži pridržavaju unaprijed određenog popisa dopuštenja pristupa. Mrežni usmjerivači dobivaju popis pravila, koji se naziva popis kontrole pristupa (ACL), koji mogu dopustiti osnovni pristup u ili iz mrežnog segmenta, kao i dopuštenje za pristup uslugama koje mogu biti dostupne putem njih. Dok se ACL može koristiti u drugim računalnim uslugama, kao što je dopuštenje korisnika za pristup datotekama pohranjenim na računalu, u slučaju ACL mreže, pravila se primjenjuju na mrežna sučelja i portove kroz koje putuju komunikacijski podaci.
Kako paketi podataka putuju kroz kontrolirane portove na mrežnom uređaju ACL mreže, oni se filtriraju i procjenjuju za dopuštenja. U većini slučajeva to se događa na mrežnom usmjerivaču ili prekidaču. Neki programi vatrozida ugrađeni u operacijski sustav, međutim, također se mogu promatrati kao oblik popisa za kontrolu pristupa. Kada paket podataka ulazi ili napušta sučelje na mrežnom uređaju, procjenjuje se njegova dopuštenja provjeravanjem u odnosu na ACL. Ako ta dopuštenja nisu ispunjena, paketu se odbija putovanje.
ACL se sastoji od unosa kontrole pristupa (ACE). Svaki ACE na popisu sadrži relevantne informacije o dopuštenjima za pakete koji ulaze ili napuštaju ACL mrežno sučelje. Svaki ACE sadržavat će izjavu o dopuštenju ili odbijanju, kao i dodatne kriterije koje će paket morati zadovoljiti. U većini slučajeva, paketi se ocjenjuju na temelju uobičajenih standarda internetskog protokola (IP), kao što su protokol kontrole prijenosa (TCP), korisnički protokol za datagram (UDP) i drugi u paketu. Od najosnovnijih tipova ACL-a, provjerava se samo izvorna adresa, dok se u proširenom ACL-u mogu uspostaviti pravila koja provjeravaju ishodišnu i odredišnu adresu kao i specifične portove iz kojih je promet potjecao i kojima je namijenjen.
U ACL mreži, kontrolne liste se izgrađuju unutar mrežnih usmjerivača i prekidača. Svaki dobavljač mrežnog hardvera može imati zasebna pravila o tome kako se ACL mora konstruirati. Bez obzira na to koji je proizvođač hardvera ili programer softvera kreirao programiranje koje obrađuje pakete prema ACL-u, najvažniji aspekt implementacije ACL mreže je planiranje. U slučajevima lošeg planiranja, potpuno je moguće da se administrator prijavi na određeni usmjerivač, počne implementirati ACL na tom usmjerivaču i odjednom se nađe da je isključen iz tog usmjerivača ili nekog segmenta cijele mreže.
Jedna od najčešćih implementacija ACL mreže ugrađena je u vlasnički mrežni operativni sustav (IOS) koji je stvorio Cisco Systems®. Na Cisco® IOS usmjerivačima i prekidačima, ACL ručno upisuje administrator i implementira se automatski kako se doda svaka stavka na popisu. ACL se mora implementirati postupno, tako da kako pojedinačni paket odgovara unosu, ostatak koji potpada pod istim dopuštenjima može slijediti primjer. Sve promjene na popisu znače da ga je potrebno ponovno upisati u cijelosti.
Iako nije tako siguran kao vatrozid za zaštitu mreže, ACL je koristan uz vatrozid za brojne scenarije. Administrator može ograničiti promet prema i iz određenih područja veće mreže ili spriječiti da promet koji potječe s određenih adresa u potpunosti napusti mrežu. Paketi se mogu nadzirati u ACL mreži kako bi se locirala problematična područja na mreži, identificirali hostovi koji se ponašaju neispravno ili pratili klijentska računala koja bi mogla biti zaražena virusom koji se pokušava širiti. ACL se također može koristiti za određivanje prometa koji treba biti šifriran između čvorova na mreži.