Как защитить от DDOS сайт на bitrix?

Так проблема в том что вас DDOSят или в том что все тупит на битриксе?
Это две разных проблемы и решать их надо по разному и в разных местах.
Про DDOS вам уже ответили - фильтровать трафик. Пакеты не должны даже до сервера долетать, не говоря уже о bitrix'е.
man iptables.

По поводу битрикса - включите кэширование в компонентах - какая разница сколько у вас обращений будет к главной, если со включенным кэшем скажем на 10 часов, ваши тяжелые, неоптимизированные запросы будут выполнятся не чаще чем раз в 10 часов? Хоть задэдосься. Компонент один раз отработает и будет выплевывать код из файла кэша пока он не устареет.

Не важно на, чем ваш сайт.Нужно фильтровать запросы на уровне iptables или железки.
Еще круто бы отказаться от apache в пользу связки nginx+php-fpm.

Выключаете все грузящие проц модули битрикса, ставите промежуточный сервер фильтрации с айпитаблес, на основном сервере настраиваете кеширование и фильтры по всяким юзерагентам и прочим штукам, которые выдают ботов.
Недавно отбивал для своего клиента какую то невероятную атаку, с учетом того что клиент был мелкий и зачем так сильно его бомбить было не понятно.

если кто вздумает сейчас попробовать завалить сервер

Если ваш проект на VPS'e, то он в принципе уязвим при DDOS, потому что в случае атаки хостер автоматом мигрирует вашу виртуалку на карантинный сервер, что бы запросы к вашему VPS не забивали канал железки.

Если проблема в трёхэтажном sql запросе, то кэшируйте этот компонент на века.

Если проблема в том что получаемый кэш компонента много весит(>1МБ), то либо вычищайте его, либо включайте встроенное кэширование на эту страницу или ставьте отдельный модуль getcache