Al autentificar al usuario, le creás una variable de sesión:

Session("Autorizado") = 1

Luego, en las páginas a proteger chequeás el estado de dicha variable. Si tiene algún valor está OK y lo dejás pasar. Si no lo tiene (o es diferente al necesitado para ingresar -caso de niveles de usuarios, por ejemplo-) lo mandás a la página de login:

If Session("Autorizado") = "" then
Response.Redirect "pagina_de_login.asp
End if