hola
La mejor forma de hacerlo seria mediante cookies o sesiones.
- Para restringir el acceso a tus usuarios a ciertas paginas
pero nunca debes poner el path completo al archivo que vas a descargar o bien el nombre.
ej.
enlace a descarga_de _archivo.asp?id=id_de_tu_archivo

este enlace de envia a otra pagina descarga_de_archivo.asp en la que incluyes

if request.cookies("tucookie")="" then
response.redirect"pagina_fuera.asp"
else
response.redirect"pagina_descargas.asp?"&request.q uerystring("id_de_tu_archivo")&""
end if
.............................................
pagina_descargas.asp

if request.cookies("tucookie")="" then
response.redirect"pagina_fuera.asp"
else
'aqui pones el path al archivo o haces la coneccion a la base de datos.
'::::::::::::::::::::::::::::::::
response.redirect"/carpeta/archivo.zip"
end if


Las cookies que creas podrias darle el valor del nombre del archivo, y en vez de conexion a la bd podrias poner
'::::::::::::::::::::::::::::::::
response.redirect"/carpeta/"&request.cookies("tu_cookie")&".zip"

tambien en la carpeta que pones los archivos deberia estar denegado el listarla.

espero que te sirva
saludos