マニュアルに書いてあることを検証しなおしたらマニュアルの通りだった、というつまらない話です。
mod_authz_host - Apache HTTP Server Version 2.2
一通り実験してみた。
GitHub - kyanny/study-apache-order-directive: Study apache's order directive behavior
ordering の順番によって挙動がかわる。マニュアルの例をみると、ちゃんと把握しておかないと ACL かけてるつもりなのに筒抜けでした!みたいな危うい状態になる可能性があるということ。基本 Order Allow,Deny を使って、「とりあえず拒否しとく」側に倒すのが安全だと思う。