E' possibile creare un elenco di maschere URL che attivano la protezione associando ogni maschera ad un'impostazione di protezione. Quando il server riceve una richiesta, il server confronta la richiesta con le maschere di questo elenco. Il server inizia il confronto con la prima maschera dell'elenco e poi scorre l'elenco fino a quando non rileva una corrispondenza o fino a quando non raggiunge la fine dell'elenco. Se viene rilevata una corrispondenza, il server attiva la protezione definita dalla relativa impostazione associata alla maschera corrispondente.
Una richiesta è la parte di un URL completo che segue il nome host del server. Quando il server riceve una richiesta, verifica se la richiesta attiva la protezione. Il server si sposta poi sulle regole di mapping per definire la richiesta su un file particolare. E' importante che tutte le richieste che attivano la protezione includano anche una regola Pass o Exec tra le regole di mapping.
L'impostazione di protezione associata ad una maschera della richiesta URL definisce come controllare l'accesso ai file protetti. E' possibile definire l'impostazione di protezione in linea (come parte della definizione di protezione del documento) o come impostazione di protezione separata e denominata. Un'impostazione di protezione definita in linea può essere utilizzata soltanto per quella maschera della richiesta URL specifica. Un'impostazione di protezione denominata può essere utilizzata per maschere della richiesta URL multiple specificandone il nome.