ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface. Một interface có thể có nhiều ACL. Router không thể lọc traffic mà bắt đầu từ chính nó. Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ đặt cuối danh sách. Standard ACLs: Nên đặt gần đích của traffic. Extended ACLs: Nên đặt gần nguồn của traffic. Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều “OUT”