从您谈论思科设备的假设出发，基本上就像您所说的那样，它们相互补充。访问列表和访问组本身都不会产生任何影响。

事实上，您首先配置一个访问列表，其中包含允许或拒绝流量的规则。您可以匹配源和目标地址、第 4 层协议和第 4 层端口信息（适用的源和目标端口）等内容。但是，您无法指定应在何处应用此策略。

这就是访问组的用武之地。使用访问组，您可以将先前定义的访问列表应用于接口，并进一步配置应过滤的流量方向。

考虑以下示例：

access-list 100 permit tcp 10.0.0.0 0.0.0.255 host 192.168.178.2 eq 443
interface GigabitEthernet 0/0
  ip access-group 100 in

请注意，每个访问列表末尾都有一个隐式拒绝 ip any any，这意味着之前未明确允许的所有流量都将被丢弃。要更改该行为，您可以将以下行放在访问列表的末尾：

access-list 100 permit ip any any

这会将访问列表应用于入站方向的接口 Gi 0/0，这意味着当流量使用指定接口进入路由器时会被过滤。