А что именно вы делаете? И от кого закрыть надо? От сервлетов или от страничек (т.е. от web-клиентов)?

Когда мне надо было что-то не дать прочитать клиенту, я делал так:
1. Клал все что нельзя кому попало видеть в каталог, к которому через странички доступа нет. (Например, любой путь вне корня web-сервера и web-приложения)
2. Писал сервлет getFile.jsp который "знал" с каким каталогом на диске он работает.
3. К файлам на страничках вместо прямой ссылки давал getFile.jsp?file=XXX
4. В самом сервлете с этим путем можно уже делать все что душе угодно - проверять расширение файла, и где он лежит и т.д. и т.п. Путь может быть или абсолютный или относительный.

Вот кусок кода который показывал картинкина страничках.



А вот если сервлету запретить - тогда не знаю :(. Если всем сервлетам сразу - то можно, наверное, tomcat'овского юзера (в операционке то бишь) порулить?