Puedes utilizar un session, por ejemplo, session("log") y le asignas el valor de true cuando el usuario se ha logueado. Entonces, en todas las paginas a las que deseas que el usuario no ingrese sin antes haberse logueado, le pones:

if session("log") = false then
response.redirect("user.asp")
else
'muestro el contenido
end if

Eso es lo primero que se me viene a la mente, es algo sencillo, pero muy útil, seguramente algún otro miembro del foro te brindará una idea mejor.
Saludos.