ACL-võrk on tegelikult nagu iga teine arvutivõrk, välja arvatud see, et võrgus töötavad ruuterid ja kommutaatorid järgivad eelnevalt kindlaksmääratud juurdepääsulubade loendit. Võrguruuteritele antakse reeglite loend, mida nimetatakse juurdepääsukontrolli loendiks (ACL), mis võimaldab põhilist juurdepääsu võrgusegmendile või võrgusegmendist ning juurdepääsu nende kaudu saadaolevatele teenustele. Kui ACL-i saab kasutada muudes arvutiteenustes, näiteks kasutaja luba juurdepääsuks arvutisse salvestatud failidele, siis ACL-võrgu puhul kehtivad reeglid võrguliidestele ja portidele, mille kaudu sideandmed liiguvad.
Kui andmepaketid liiguvad läbi ACL-võrgu võrguseadme kontrollitud portide, filtreeritakse neid ja hinnatakse nende õigusi. Enamikul juhtudel toimub see võrgu ruuteris või kommutaatoris. Mõningaid operatsioonisüsteemi sisseehitatud tulemüüriprogramme võib siiski vaadelda ka juurdepääsukontrolli loendina. Kui andmepakett siseneb võrguseadme liidesesse või sealt lahkub, hinnatakse selle õigusi, kontrollides seda ACL-iga. Kui neid õigusi ei täideta, keelatakse paketi reisimine.
ACL koosneb juurdepääsukontrolli kirjetest (ACE). Iga loendis olev ACE sisaldab asjakohast teavet ACL-i võrguliidese sisenevate või sealt väljuvate pakettide lubade kohta. Iga ACE sisaldab kas loa- või keeldumisavaldust, samuti täiendavaid kriteeriume, millele pakett peab vastama. Enamikul juhtudel hinnatakse pakette üldiste Interneti-protokolli (IP) standardite alusel, nagu edastusjuhtimisprotokoll (TCP), kasutaja datagrammi protokoll (UDP) ja muud komplektis olevad standardid. Kõige põhilisematest ACL-i tüüpidest kontrollitakse ainult lähteaadressi, samas kui laiendatud ACL-is saab kehtestada reeglid, mis kontrollivad lähte- ja sihtkoha aadresse ning ka konkreetseid porte, kust liiklus pärineb ja kuhu see on suunatud.
ACL-võrgus koostatakse juhtloendid võrguruuterites ja lülitites. Igal võrguriistvara tarnijal võib olla eraldi reeglid ACL-i koostamiseks. Olenemata sellest, milline riistvaratootja või tarkvaraarendaja lõi programmeerimise, mis töötleb pakette ACL-i vastu, on ACL-võrgu juurutamise kõige olulisem aspekt planeerimine. Halva planeerimise korral on administraatoril täiesti võimalik konkreetsesse ruuterisse sisse logida, alustada sellel ruuteril ACL-i juurutamist ja ootamatult avastada, et ta on sellest ruuterist või kogu võrgu mõnest segmendist välja lülitatud.
Üks levinumaid ACL-i võrgurakendusi on sisse ehitatud Cisco Systemsi® loodud patenteeritud Interneti-operatsioonisüsteemi (IOS). Cisco® IOS-i ruuterites ja lülitites sisestab administraator ACL-i käsitsi ja see rakendatakse automaatselt, kui loendis iga üksus lisatakse. ACL-i tuleb rakendada järk-järgult, nii et kui individuaalne pakett ühtib kirjega, saaksid samade lubade alla kuuluvad ülejäänud osad järgida eeskuju. Kõik loendis tehtud muudatused tähendavad, et see tuleb tervikuna uuesti sisestada.
Ehkki ACL pole võrgu kaitsmiseks nii turvaline kui tulemüür, on see lisaks tulemüürile kasulik mitme stsenaariumi korral. Administraator saab piirata liiklust suurema võrgu teatud piirkondadesse ja sealt välja või takistada teatud aadressidelt pärinevat liiklust võrgust üldse lahkumast. Pakette saab jälgida ACL-võrgus, et leida võrgus probleemsed alad, tuvastada valesti käituvad hostid või jälgida klientarvuteid, mis võivad olla nakatunud viirusega, mis üritab levida. ACL-i saab kasutada ka liikluse määramiseks, mis tuleb võrgu sõlmede vahel krüpteerida.