以下、記述に誤りがあるかも知れません。御了承ください。なお、御指摘頂けると幸いです。
Plone の遅さがどうしても気になったので、キャッシュを入れることにしました。しかし、Apache 2.0 の mod_cache は experimental であるということと、thread 付き APR という機能が必要ということで、NetBSD 1.6 で動かすのは怖そうなのでやめました。その代わりに調べていたら、Squid が有用であることが分かりました。SquidGuard と組み合わせる説明は Plone.org にもありますが、凝ったことをしなければ Squid 単体でも問題なさそうです。
階層構造としては、

ブラウザ → Squid （逆プロキシ*1） → Apache → Zope

というのが一般的なよう*2ですが、試した感じでは、以下でも大丈夫そうです。

ブラウザ → Apache → Squid （逆プロキシ） → Zope

後者のメリットとしては、

• virtual host のように、任意の URL パスだけを Squid に転送することができる。
• SSL (HTTPS) でやってきた要求について、SSL を Apache で解いてから Squid に転送することができる。
• 使い慣れた Apache のロギングを使い続けることができる。

という点だと（個人的には）考えています。もちろん、SquidGuard を使ったり Squid に SSL を組み込む方法もあるようですが、慣れた方法を使うのが一番簡単だし安全だと思いました。
なお、Squid は通常のプロキシと逆プロキシを一つのプロセス（実行インスタンス）で実現可能なので、今使っている Squid を兼用することが可能です。これは、squid.conf を書き換えれば OK です。
前者を選ぶ場合の重要な注意としては、Squid を最外側に置く場合、逆プロキシをポート 80 で受けることになりますが、要求を無条件に外部 web サーバーに転送しないように気を付けます。もちろん、テストもすべきでしょう。
これに対して、後者のように Squid を Apache と Zope の間に挟む場合は、Squid の受け口（listen するポート）を通常のポート（例えば 3128 とか 8080）のままで OK なので、このポートに対するフィルタリングを適切に設定していれば、それほどナーバスになる必要はなさそうです。
以下、私が試したのは

• Apache 2.0.54
• Squid 2.5.11
• Zope 2.8.1

です。
まず最初に雑感ですが、私の小さな実験で見た感じでは、上記の 2つの構成に大きな違いはなさそうです。Apache (http.conf) の

RewriteRule ... [P]

で要求を転送することと、Squid で要求を転送すること（必要に応じてキャッシュをひく）に、大きな違いはないのかも知れません。