en la página que busca si existe el usuario y contraseña, cuando se logea correctamente creas una session con el id del usuario por ejemplo:

session_start();
$_SESSION['id_cliente'] = $idusu; //El $idusu esta buscardo mediante consulta sql


y despues en cada página que no sea el login.html pones un if para comprobar si esta logeado, por ejemplo:

if(isset($_SESSION['idusu'])){
//Se muestra lo que se quiera mostras porque esta logeado
}
else{
header("location: ../login.html"); //Para enviarlo directamente a la página de login
}


lo suyo seria que en el login.html destruyeras las sessiones con unset