În exemplul anterior , administratorul de rețea a configurat un ACL care permite utilizatorilor din rețeaua 192.168.10.0/24 să caute atât website-uri sigure și nesigure. Chiar dacă a fost configurat , ACL-ul nu filtrează traficul până nu este aplicat unei interfețe. Pentru a aplica un ACL la o interfață , mai întâi luați în considerare dacă traficul ce va fi filtrat intră sau iese. Când un utilizator pe LAN-ul intern accesează un website pe internet , traficul iese către internet. Când un utilizator intern primește un email de pe Internet , traficul intră în router-ul local. Cu toate acestea , când aplicați un ACL la o interfață , "in" și "out" au sensuri diferite. Din punct de vede al ACL-ului , "in" și "out" fac referire la interfața router-ului.

În topologia din figură , R1 are trei interfețe. Are o interfață serială , S0/0/0 și două interfețe Gigabit Ethernet , G0/0 și G0/1. Amintiți-vă că un ACL extins ar trebui aplicat cât mai aproape de sursă. În această topologie , interfața cea mai aproape de sursă pentru trafic este interfața G0/0.

Cererile de trafic web de la utilizatori pe LAN-ul 192.168.10.0/24 este de intrare către interfața G0/0. Traficul de retur , din conexiunile stabilite cu utilizatorii de pe LAN , este de ieșire pe interfața G0/0. Exemplu aplică ACL-ul către interfața G0/0 în ambele direcții. ACL-ul de intrare , 103 , verifică tipul de trafic. ACL de ieșire , 104 , verifică pentru traficul de return de la conexiunile stabilite. Aceasta va limita accesul la internet a lui 192.168.10.0 pentru a permite doar navigate website.

Notă:Listele de acces pot fi aplicate la interfața S0/0/0 dar în acest caz , procesul ACL al router-ului va examina toate pachete care intră pe router , nu doar traficul cu și de la 192.168.11.0. Acest lucru ar provoca procesare inutilă de către router.