ACL (Zugriffskontrollliste) bezieht sich hauptsächlich auf zwei technische Konzepte.
Die erste ist eine Dateisystem-ACL, die Benutzer- oder Gruppenberechtigungen für den Zugriff auf Dateien, Verzeichnisse oder Systemressourcen angibt. Betriebssysteme verweisen normalerweise auf diese ACLs – die von Dateibesitzern oder Systemadministratoren konfiguriert werden –, um zu bestimmen, ob Vorgänge wie Lesen, Schreiben oder Ausführen für einen bestimmten Benutzer oder eine bestimmte Gruppe zulässig sind.
Die zweite ist eine Netzwerk-ACL, die normalerweise auf Geräten wie Routern und Firewalls konfiguriert ist und Richtlinien zum Zulassen oder Verweigern von Netzwerkpaketflüssen definiert. Netzwerk-ACLs bewerten Pakete anhand verschiedener Parameter, darunter Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Portnummer und Ziel-Portnummer. Diese Auswertung erfolgt sequenziell, beginnend am Anfang des Regelsatzes, und die erste übereinstimmende Regel bestimmt die Aktion (Zulassen oder Verweigern), die auf das Paket angewendet wird. Nachfolgende Regeln werden nach der ersten Übereinstimmung ignoriert. Wenn ein Paket keiner expliziten ACL-Regel entspricht, wird standardmäßig eine „implizite Ablehnungsaktion“ angewendet, die das Paket zurückweist.
Darüber hinaus können Geräte wie F5 BIG-IP erweiterte, sitzungsabhängige ACLs implementieren, die dynamisch auf den Ebenen 4–7 angewendet werden (z. B. HTTP-Steuerelemente auf Anwendungsebene). Diese erweiterten ACL-Funktionen ermöglichen fein abgestufte Zugriffsrichtlinien. So kann beispielsweise internen Unternehmensbenutzern der vollständige Zugriff auf interne Applications gewährt werden, während Gast- oder externen Benutzern nur der Zugriff auf öffentlich zugängliche Webressourcen gestattet werden kann.