Hola Gianfranco
Las reglas genéricas que configuras en un firewall para denegar o permitir el acceso del tráfico, son ACLs; así que conceptualmente es lo mismo, no existen diferencias. Por ejemplo cuando configuras listas de acceso por la CLI en un firewall ASA, esas mismas reglas las veras configuradas en la interfaz gráfica del firewall.
Ahora si hablas de configurar ACLs en dispositivos de red como Routers o Switches Vs configurar un Firewall dedicado, hay que tener en cuenta algunas cuestiones. Primero la diferencia es que un firewall es un dispositivo que esta netamente dedicado a la seguridad y obviamente tiene otras funciones que un router o switch no puede tener, y ocurre lo mismo al otro lado, cada dispositivo tiene su función, si bien en los routers o switches puedes configurar ACLs, no fueron diseñados para funcionar como dispositivos de seguridad especializados, su función principal es conmutar y enrutar; si utilizas un dispositivo para realizar TODAS las funciones de una red, estarías arriesgándote a que el dispositivo llegue a su pico de rendimiento y comience a tener fallas; al final todo depende de tu presupuesto y tu diseño… en un switch ya viste que puedes tener funciones de Wireless, funciones de enrutamiento, funciones de conmutación, funciones de seguridad… de nuevo, es posible utilizarlo para todo? si… es recomendado? No, además que mucho depende del rendimiento que tenga tu dispositivo y del tamaño de tu red.
Por otro lado, si utilizas 1 solo dispositivo para realizar todas las funciones en tu red, te arriesgas a que cuando caiga ese dispositivo, absolutamente TODA tu red va dejar de funcionar, tienes un único punto de falla.
Al final respondiendo a tu consulta, la respuesta es SÍ, se puede tener control del tráfico con ACLs y con Firewall en la misma red; en muchas redes se utiliza el propio switch para restringir la comunicación interVLAN a nivel de SVIs, y se utiliza un firewall en el perímetro de la red para protegerte contra amenazas externas; en otras redes se utilizan 2 firewalls, uno para la comunicación interVLAN, y otro para el perímetro de la red; en otros se utilizan más firewalls, uno para la comunicación interVLAN, otro para los servidores, otro para el perímetro. Al final TODO DEPENDE del diseño que tengas, de las áreas que necesites proteger, del lugar donde está configurado tu Gateway, de los servicios que ofreces, de tu presupuesto, etc.
Atento a tus comentarios.
Saludos!