Existem algumas maneiras ... Restrições de IP, regravação de URL, proteção dentro do código. Mas o melhor e mais seguro é provavelmente remover o acesso de leitura ao arquivo.
Se você pode alterar o tipo de arquivo para .inc, isso essencialmente irá bloqueá-lo. Outra maneira é colocá-lo em uma pasta somente leitura que tenha acesso de leitura removido. Ou você pode fazer isso para o arquivo único. A única preocupação em fazer isso para um arquivo é que, se ele for renomeado no futuro (alguém esquece), ele não será mais bloqueado.
No IIS7.x, a maneira de remover o acesso de leitura está em Mapeamentos do manipulador - > Editar permissões de recursos .