Wenn man den Apache Webserver absichern möchte, kann man dafür eine Firewall nutzen. Dienlich ist hier eine Application-Level-Firewall wie modscurity. Diese Firewall benötigt keine einzelnen TCP-Pakete, sondern integriert sich komplett in zu Applikation, die man mit ihr schützen möchte. Dadurch begreift die Firewall auch die individuellen Details des verwendeten HTTP Protokolls. Dadurch ist eine differenzierte Reaktion auf den Inhalt der HTTP-Verbindungen reagieren. Hier liegt ihr Vorteil gegenüber Firewals, die in Paketen filtern. Firewals wie IPTables oder die Windows-Firewall verarbeiten zwar die Nutzdaten, die sich in den Paketen befinden, verstehen die darin befindlichen Informationen aber nicht. Bei diesen Firewalls zählt nur, welche Pakete welcher Netzverbindung angehören, wo sie herkommen und wo sie hingehen. Diese Paketfilter versagen oftmals schon, wenn sie Webseiten sperren soll, auf denen sich schädliche Links befinden oder TCP-Pakete mit bekannten Exploits. Oftmals bedingt die Fragmentierung, dass das Muster, das gefunden werden soll, sich außerhalb eines der einzelnen Pakete befindet. Die verwendeten Übertragungsprotokolle zeigen die Daten oftmals vom Format her nicht einheitlich an. Eine Firewall, die nur Pakete ausfiltert, kann zudem nicht zuverlässig bestimmen, ob die zu prüfenden Daten einer HTTP-Verbindung angehören. Da heute viele Dinge über Verbindungen mit SSL-Verschlüsselung laufen, bekommen Paketfilter zusätzlich Probleme. Eine Application-Level-Firewall für den Apache Webserver, die auch als Level-7-Filterung bezeichnet wird, hat diese Probleme nicht, weil sie auf der Ebene arbeitet, über die zum Beispiel der Browser und der Webserver miteinander kommunizieren.

Im Normalfall konfiguriert man einen Apache Webserver so, dass er unter einem individuellen Benutzer läuft und somit von vorneherein kein Recht auf den Zugriff auf Verzeichnisse hat, die kritisch sein könnten. Wer beim Apache mit einem Unix-System arbeitet, kann den Server zudem mit chroot sichern, was den Zugriff des Webservers auf einen gewissen Teil des vorhandenen Datenbaums beschränkt. Der Document Root wird hierdurch zur Wurzel des virtuellen Dateibaums.

Gegen DoS-Attacken kann man sich mit dem Modul modevasive schützen, das auf einer Blacklist basiert. Das Modul legt in einer internen Hash Tabelle alle IP Adressen der Clients ab, hält eine Zählung derselben ab und sperrt für eine gewisse Zeit den weiteren Zugriff auf die Adressen.