Yo lo que hice es crearme una página llamada seguridad.php, que es la que llama cada página tuya que no quieres que sea vista.

Cada página que la llama le pasa una variable en el header location (para que sepa que pagina esta entrando en seguridad), una vez llegue a seguridad.php se mira si existe esa variable o no. En caso de que sí, pues un header a esa página con una variable desession para verificar que está bien, y de lo contrario le mandas directamente de nuevo al login, con otro variable de session para indicarle que es un área retringida o como lo quieras llamar.