Vamos a ver. Da igual el tema de iptables, firewall y tal. Cualquier cortafuegos decente, si está bien configurado, te servirá. Debes tener el puerto 80 abierto así que hay que centrarse en la aplicación y máquina que escucha tras ese puerto. Eso no quita para que un IDS tal como snort, te ayude con las reglas adecuadas a auditar los accesos al servidor web donde se aloja la aplicación.

Supongo que la máquina con la aplicación y el servidor web están en una DMZ. Si no lo está, esto es lo primero que debes hacer. Testear bien, que supongo lo habreis realizado ya, la aplicación para que no tenga ningún resquicio. Siempre actualizado el software de servidor web y la máquina. Desactivación de servivios innecearios. Mysql solo debe ser accesible a través de la aplicación no desde el exterior (por lo que leo en tu post parece que está así).

Cuidado con los cortafuegos basados en software. Son más propensos a caidas o ser desactivados por algún virus, esto no quiere decir que no sea válido, aunque son preferibles por hardware.

Por lo demás parece que lo tienes controlado.