由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設置原則羅列出來，方便各位讀者更好的消化ACL知識。

1、最小特權原則

只給受控對象完成任務所必須的最小的權限。也就是說被控制的總規則是各個規則的交集，只滿足部分條件的是不容許通過規則的。

2、最靠近受控對象原則

所有的網絡層訪問權限控制。也就是說在檢查規則時是采用自上而下在ACL中一條條檢測的，只要發現符合條件了就立刻轉發，而不繼續檢測下面的ACL語句。

3、默認丟棄原則

在CISCO路由交換設備中默認最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數據包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。

由于ACL是使用包過濾技術來實現的，過濾的依據又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內部的權限級別等。因此，要達到端到端的權限控制目的，需要和系統級及應用級的訪問權限控制結合使用。